Die Sicherheit von Webseiten

Das "surfen" im Web ist sicher einer der Haupttätigkeiten mit der man seine Zeit am Computer verbringt. Dort liegen auch die meisten Gefahren. Dabei kann es sich um bösartige Webseiten handeln, die dem ahnungslosen Besucher alles mögliche unterschieben wollen. Aber auch seriöse Seiten können gehackt werden, so dass diese ohne Absicht der Betreiber Schadsoftware ausliefern. Außerdem kann der Datenverkehr zwischen Webseite und Benutzer bei unvorsichtigen Einstellungen des Betreibers abgehört werden. Daher ist die CompuDUS- Webseite seit längerem nur verschlüsselt per https erreichbar.

Mozilla - der Hersteller des Webbrowsers Firefox - hat nun einen Test online gestellt, mit der man die Sicherheit von beliebigen Webseiten überprüfen kann. Dieser Test kann aufgerufen werden unter https://observatory.mozilla.org/. Dieser Test überprüft, ob der Webseiten-Betreiber verschiedene Sicherheitsmaßnahmen erfolgreich realisiert hat

Eine weitere Testseite, die es schon länger gibt, ist der SSL-Test von "Qualys SSL Labs", aufrufbar unter https://www.ssllabs.com/ssltest/. Hier wird im wesentlichen getestet, wie gut die Verschlüsselung der Webseite eingerichtet ist.

Probieren sie doch mal einige Webseiten durch, die Sie regelmäßig besuchen. Die CompuDUS Seite erreicht bei beiden Tests natürlich die Note A+ :-)

Pokémon Go - Datenschutz und Privatsphäre weg

Der Hype um das neue Spiel "Pokémon Go" schlägt immer höhere Wellen. Leider ist den meisten aber kaum bewusst, dass sie mit ihren Daten für das Spiel bezahlen.

In einem Beitrag auf n-tv werden die Gefahren eindeutig beschrieben. Der IT-Sicherheitsfachnmann Mike Kuketz schreibt auf seinem Blog  " Die Gefahren der Überwachung und der Manipulation werden also dem Spielspaß geopfert." Allein die Nutzungsbedingungen haben bereits die Datenschützer auf den Plan gerufen.

Nun ist Pokémon Go nur  die Spitze des Eisberges. Schon seit einiger Zeit ist es gang und gäbe bei proprietärerer Software wie Windows 10 , dass sie ungefragt Daten ihrer Benutzer sammelt. Diese werden analysiert und auch weiter gegeben. Neu ist allenfalls bei Pokemon Go, dass sie wohl hauptsächlich GPS-Daten sammeln um so eine komplettes Bewegungs- und Aufenthaltsprofil erstellen zu können.

"Interessiert mich nicht, ich habe nichts zu verbergen" denken Sie? Sicher? Ist es egal, wenn ihre Versicherung, ihre Bank oder ihr Chef wissen, wo Sie sich den ganzen Tag aufhalten? Wenn die Versicherung Ihre Beiträge erhöht, weil Sie sich an Orten aufhalten würden, die das Versicherungs- Risiko steigern? Wenn Ihre Bank ihnen deswegen keinen Kredit mehr gibt? Wenn sie deswegen keine neue Arbeitsstelle mehr bekommen? Oder keine neue Wohnung? 

Auch wenn dies (noch) übertrieben dargestellt erscheint - wir gehen geradewegs darauf zu. Die Daten für diese Szenarien sind jedenfalls schon da. 

Deswegen rate ich immer dazu, es den Datensammmlern nicht zu leicht zu machen. Was Sie dafür tun können - dazu kann ich sie beraten.

Nachtrag:Das Europamagazin der ARD hat dazu einen interesssanten Beitrag online gestellt

 

Ransomware - Erpressungssoftware

Ich erlebe immer wieder bei Kunden, dass Sie nicht nur Schadsoftware auf dem Rechner haben, sondern dass diese sämtliche Daten zerstört haben. Die Rede ist hierbei von so genannter Ransomware (engl. "ransom" = "Lösegeld"). Diese Schadsoftware verschlüsselt sämtliche persönlichen Dateien mit einem kryptographischen Schlüssel. Die Daten sind damit unbrauchbar. Irgendwo taucht dann der Hinweis auf, man möge eine bestimmte Summe an ein anonymes Konto zahlen und die Daten wieder entschlüsseln zu können. 

Vereinzelt gelingt es zwar,  verschlüsselte Dateien von bestimmten Ransomware-Varianten wieder zu entschlüsseln, doch es gibt ständig neue Varianten dieser Schadsoftware.

Der beste Schutz vor der Erpressungs-Software sind ein paar einfache Verhaltensregeln:

  • Erstellen Sie regelmäßig eine Datensicherung auf einen externen Datenträger, wie z.B. einer externen Festplatte. Nach der Sicherung die Platte abstöpseln.
  • Öffnen Sie keine unbekannten Anhänge in Mails. Überprüfen Sie im Zweifelsfall vorab den Anhang oder die herunter geladene Datei mit einem Online-Virenscanner wie virustotal.com
  • Spielen Sie regelmäßig Aktualisierungen ein, vor allem beim Betriebssystem und beim Webbrowser. 
  • Hat es Sie trotzdem erwischt rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu, kein Lösegeld zu zahlen und stattdessen Anzeige zu erstatten.

Wenn Sie weitere Fragen zu dem Thema haben können Sie mich gerne kontaktieren.

 

Windows 10

Derzeit erreichen mich Anfragen zur Installation von Windows 10. Das kommt daher, dass auf älteren Windows-Versionen (Windows 7, 8 und 8.1) plötzlich ein Download-Angebot für Windows 10 erscheint. Näheres dazu erfährt man auf Heise.

Dieses Download-Angebot dient dazu, Windows 10 zu reservieren. Windows 10 soll laut Medienberichten am 29. Juli erscheinen. Nutzer der älteren Windows-Versionen bekommen dann für ein Jahr die Möglichkeit kostenlos auf Windows 10 zu aktualisieren. Die Lizenz gilt dann für die gesamte Lebensdauer des Gerätes. Dies bedeutet konkret, dass Windows 10 auf dem Rechner eingesetzt werden kann, auf dem jetzt Windows 7, 8 oder 8.1 installiert ist. Muss der Rechner - oder auch nur Teile daraus - ausgetauscht werden muss Windows 10 neu gekauft werden.

Dies ist eine Änderung gegenüber der bisherigen Lizenzpolitik, bei der man die Software auch auf einen Nachfolgerechner installieren konnte, sofern sie auf dem alten Rechner gelöscht wurde. Zumindest für die Upgrade-Version wird das nun nicht mehr gelten.

Windows 7 wird noch bis 2020 unterstützt, so dass hier kein großer Zeitdruck besteht. Sie haben also noch ausreichend Zeit zu überlegen ob Sie auf Windows 10 aktualisieren möchten.

Ich rate aus vielerlei Gründen dazu, das freie Betriebssystem Linux einzusetzen. Ein paar dieser Gründe sind:

  • Es gibt in der Praxis kaum Schadsoftware (Viren, Trojaner) die auf Linux ausgelegt ist. Der Einsatz eines Anti-Viren-Scanners ist daher nicht nötig. Das spart Rechenzeit, wodurch die Computer unter Linux meist effektiver und schneller sind.
  • Linux ist freie Software, auch Open Source Software genannt. Das bedeutet nicht nur, dass die Software lizenzkostenfrei zu haben ist, sondern auch, dass sie weiter verteilt werden kann und dass viele Personen sich mit der Software beschäftigen und den Programmcode auf Fehler oder gar schadhaften Code untersucht haben. Dadurch kommen unerwünschte Funktionen, wie das Ausspionieren der Nutzer, bei freier Software kaum vor. Man muss - wie bei geschlossener Software üblich - nicht dem Hersteller einfach vertrauen, sondern kann sich auf das Urteil unabhängiger Dritter verlassen.
  • Sicherheitslücken werden in der Regel schneller geschlossen. Während man bei Microsoft auf einen so genannten Patchday warten muss, der einmal im Monat stattfindet, werden Sicherheitsaktualisierungen in Linux-Distributionen sofort zur Verfügung gestellt.
  • Schon heute ist es kaum noch möglich Microsoft-Software ohne ständige Überwachung und Kontrolle von Microsoft zu benutzen. Microsoft Office und Windows ab Version 8 setzen standardmäßig ein so genanntes Microsoft Online-Konto voraus. Zwar kann man das noch mit Tricks umgehen, aber es ist absehbar, dass die Programme in Zukunft nur noch dann richtig funktionieren, wenn man Microsoft nicht nur Geld, sondern auch noch all seine Daten gibt.

Eine Übersicht, warum einige Leute Microsoft-Software wegen der unerwünschten Funktionen sogar als Schadsoftware betrachten finden Sie auf der Seite der Free Software Foundation

Falls Sie Fragen zu diesem Thema haben und/oder an einem Umstieg interessiert sind schreiben Sie mich einfach unverbindlich per Mail an.

 

Für Ihre Sicherheit: CompuDUS Webseite über https

Angesichts immer weiterer Spionage- und Abhörskandale stehen die Zeichen der Zeit auf erhöhte Sicherheit im Internetverkehr. Als Anbieter von Computer-Dienstleistungen in Düsseldorf möchte CompuDUS natürlich mit der Zeit gehen. Es dient schließlich ihrer Sicherheit. Deswegen ist die CompuDUS-Webseite ab sofort standardmäßig nur über das sichere und verschlüsselte Protokoll https abrufbar.

Was bedeutet das?

Das "normale" (d. h. unverschlüsselte) Protokoll http sendet Daten im Klartext über die Leitung. Jeder, der auf der Leitung "mithört" kann mitlesen, was Sie im Internet abrufen und auch was Sie senden. Bei https (das "s" steht für "secure" also "sicher") werden die Daten verschlüsselt bevor sie über die Leitung gehen.

So wird sicher gestellt, dass nur Sie und der Webserver, auf dem sie Seite läuft die Daten lesen können. "Mithörer" bekommen den Inhalt nicht mehr mit. Übrigens: Der Aufruf der Webseite funktioniert nach wie vor über das unverschlüsselte http-Protokoll. Der Webserver leitet sie aber unverzüglich auf das sichere https-Protokoll um. Sie müssen also Ihre Favoriten bzw. Bookmarks nicht ändern.

Sicher im Internet surfen: Firefox installieren und einstellen

Mozilla Firefox ist vollständig freie Software und somit unter den gängigen Webbrowsern am ehesten zu empfehlen

Der Microsoft Internet Explorer ist unfreie, geschlossene Software und fest mit dem Windows Betriebssystem verbunden. Microsoft gehört zu den Firmen, die mit der NSA zusammenarbeiten. Der Browser Google Chrome enthält unfreie Teile, außerdem arbeitet auch Google mit der NSA zusammen.

Im folgenden gehe ich von einem Microsoft Windows 7 Betriebssystem aus. Die Vorgehensweise sollte unter Windows XP, Vista oder 8 ähnlich sein.

 

Firefox installieren

Was: Installation von Open Source Software zum surfen im Internet

Warum: Vermeidung von Hintertüren (z. B. für Geheimdienste) und anderen unerwünschten Funktionen in einer oft benutzten Kommunikations-Software

  1. Starten Sie den Internet Explorer
  2. Surfen sie zu http://www.mozilla.org
  3. Klicken Sie auf Systems & Languages unter dem grünen Download-Knopf
  4. Scrollen Sie runter zu "German" und klicken Sie auf den ersten Download-Link
  5. Klicken Sie zwei mal auf Speichern
  6. Warten Sie den Download ab
  7. Klicken Sie auf Ordner öffnen
  8. Doppelklicken Sie auf die Firefox_Setup Datei
  9. Klicken Sie auf ausführen
  10. Bei der Frage ob Änderungen zugelassen werden sollen klicken Sie auf Ja
  11. Die Installation startet, klicken Sie auf Weiter
  12. ... und dann auf Installieren
  13. Klicken sie auf Fertigstellen
  14. Sie können wählen, ob Sie Einstellungen vom Internet Explorer übernehmen möchten. Dann auf Weiter klicken.
  15. Wählen sie "Firefox Start" und klicken Sie auf Weiter
  16. Firefox ist installiert

 

Firefox einstellen

Was: Die Standard-Einstellungen von Mozilla Firefox verbessern

Warum: Vermeidung der Übermittlung und Speicherung von Daten, aus denen ein Profil erstellt werden kann

 

  1. Klicken Sie auf Firefox - Einstellungen - Einstellungen
  2. Unter Allgemein - Wenn Firefox gestartet wird - Leere Seite anzeigen auswählen
  3. Unter Datenschutz bei Verfolgung Websites mitteilen , dass ich nicht verfolgt werden will auswählen
  4. Unter Chronik: Cookies akzeptieren - Behalten bis: Firefox geschlossen wird auswählen
  5. Die Chronik löschen, wenn Firefox geschlossen wird anhaken
  6. Auf Einstellungen klicken, im Feld Chronik alles anhaken
  7. Unter Erweitert - Datenübermittlung alles deaktivieren
  8. Auf OK klicken - Fertig

Safebrowsing deaktivieren

Was: Abfrage zu gefährlichen Webseiten abschalten

Warum: Mögliches unerwünschtes sammeln von Daten verhindern

Als zusätzlichen und gesonderten Einstellungspunkt möchte ich hier auf Anregung die Deaktivierung des so genannten Safebrowsings vorstellen. Dieser Punkt ist allerdings etwas ambivalent, da er ja explizit den Benutzer vor gefährlichen Webseiten schützen soll. Der Safebrowsing-Mechanismus arbeitet mit Google Services zusammen, die eine Liste potentiell gefährlicher Webseiten pflegen. Um zu überprüfen ob die gerade besuchte Seite in dieser Liste ist, muss die Webadresse mit der Liste abgeglichen werden. Laut dem Firefox-Hersteller Mozilla werden dabei keine persönlichen Daten zu Google übertragen, aber trau, schau wem. Es muss also jeder für sich entscheiden, ob man das Risiko eingehen will, möglicherweise Google Daten sammeln zu lassen oder ob man lieber auf den Schutz, den dieser Service m. E. eindeutig bietet, verzichtet.

  1. Klicken Sie auf Firefox - Einstellungen - Einstellungen
  2. Unter Sicherheit die Haken bei "Webseite blockieren, wenn sie als attackierend gemeldet wurde" und "Webseite blockieren, wenn sie als Betrugsversuch gemeldet wurde" rausnehmen
  3. Auf OK klicken - fertig

 

Alternative Suchmaschine einstellen

Was: Einrichtung von nicht-datensammelnden Suchmaschinen

Warum: Vermeidung von Datensammlung durch Suchmaschinen und Weitergabe der Daten durch die Suchmaschinen an Geheimdienste

DuckDuckGo als Suchmaschine

Adressen: https://duckduckgo.com, http://ddg.gg

DuckDuckGo ist eine Suchmaschine, mit der Suchabfragen durchgeführt werden können, ohne dass persönliche Daten gesammelt werden. Es werden keine IP-Adressen oder Informationen über Benutzer gespeichert. Teile von DuckDuckGo sind als Quellcode offen verfügbar (Open Source).

  1. Surfen Sie zu http://mycroftproject.com/search-engines.html?name=duckduckgo
  2. Klicken Sie auf DuckDuckGo DE SSL
  3. Wählen Sie sofort verwenden an und klicken Sie auf Hinzufügen
  4. Ab sofort können Sie in der Firefox Suchbox rechts oben DuckDuckGo als Suchmaschine verwenden

 

Startpage.com als Suchmaschine

Adresse: https://startpage.com

Startpage ist eine Suchmaschine, die als Proxy (Stellvertreter) Suchabfragen auf Google durchführen kann, ohne dass Google persönliche Daten speichern kann. So gibt es einen Weg, die Google-Suchmaschine weitgehend anonym zu benutzen

  1. Surfen Sie zu https://startpage.com/deu/download-startpage-plugin.html
  2. Klicken Sie bei HTTPS installieren auf den blauen Installieren Knopf
  3. Wählen Sie sofort verwenden an und klicken Sie auf Hinzufügen
  4. Ab sofort können Sie in der Firefox Suchbox rechts oben Startpage als Suchmaschine verwenden

 

HTTPS-Everywhere installieren

Was: Installation eines Plugins welches viele Webseiten verschlüsselt abruft

Warum: Verhinderung der mitlesens von aufgerufenen Webseiten durch Geheimdienste

HTTPS-Everywhere ist ein so genanntes Plugin, ein Zusatz-Programm zu Firefox welches sich in den Browser einklinkt. Die Funktion von HTTPS-Everywhere besteht darin, dass viele bekannte Seiten standardmäßig verschlüsselt aufgerufen werden. Auf diese Weise geht der Datenverkehr verschlüsselt über die Leitung, und Geheimdienste die die Datenkabel anzapfen können den Inhalt nicht mitlesen.

  1. Surfen Sie zu https://www.eff.org/https-everywhere
  2. Klicken Sie auf Install in Firefox
  3. Bei der Frage ob Software auf dem Computer installiert werden soll klicken Sie auf "Erlauben"
  4. Das Software-Installationsfenster öffnet sich. Warten Sie 5 Sekunden und klicken Sie auf Installieren
  5. Klicken Sie nach Beendigung der Instalation auf Jetzt neu starten
  6. Bei der Frage, ob Zertifikate zum SSL Observatory geschickt werden sollen auf Nein klicken (wir wollen ja schließlich keine Daten über unser Surfverhalten schicken)

 

Disconnect installieren

Was: Installation eines Plugins welches viele tracking widgets (nachverfolgende Elemente) blockiert

Warum: Verhinderung des unerwünschten sammelns von Daten und deren Auswertung und Weitergabe (auch an Geheimdienste)

Disconnect ist ein Plugin für Firefox welches verfolgende Elemente, so genannte tracking widgets, blockiert. Viele Webseiten beinhalten solche Elemente von dritten Parteien, beispielsweise Google, Facebook oder andere Firmen, die mit Werbung ihr Geld verdienen. Diese Elemente sammeln durch den Besuch der Webseite unbemerkt Daten und senden sie zurück an die Firma. Natürlich können auch Geheimdienste über diese Daten verfügen, indem sie auf der Leitung mitlauschen oder die Daten von den Firmen zur Verfügung gestellt bekommen. Disconnect blockiert diese Elemente, so dass das heimliche sammeln von Daten verhindert wird.

  1. Surfen Sie zu https://disconnect.me
  2. Klicken Sie auf den grünen  Get DisconnectKnopf
  3. Bei der Frage ob Software auf dem Computer installiert werden soll klicken Sie auf "Erlauben
  4. Das Software-Installationsfenster öffnet sich. Warten Sie 5 Sekunden und klicken Sie auf Installieren
  5. Klicken Sie nach Beendigung der Installation auf Jetzt neu starten
Home ← Ältere Posts