1. So banal es klingt: Bleiben Sie wachsam bei allen eintreffenden Mails, Fehlermeldungen und Webseiten.
2. Ein Virenscanner ist ein Muss auf jedem Windows-Rechner. Dabei ist aber jedes Antivirenprogramm nur so gut, wie es aktuell ist. Die täglich von den Programmen angebotenen Updates sollte man auch täglich befolgen.
3. Ebenso sollte man sein Windows-System stets auf dem neuesten Stand halten – so lästig es auch sein mag, immer wieder aufs Neue die automatisch angebotenen Updates zu bestätigen.
4. Windows bietet die wichtigsten Hinweise für einen grundlegend abgesicherten PC direkt im Betriebssystem an und warnt, falls etwas nicht stimmt. Wenn etwa die Warnung erscheint, dass die Firewall abgeschaltet sei, sollte man der Meldung nachgehen. Die Firewall schützt vor Angriffen von außen, aber auch davor, dass heruntergeladene Programme ungewollt persönliche Daten nach außen übertragen.
5. Vor jedem Download von Software aus dem Netz sollten Sie sich die Frage stellen: Ist die Quelle sicher? Googeln hilft: Suchen Sie in einem zusätzlichen Browserfenster über www.google.de nach dem Programm. In aller Regel haben bei Schadprogrammen andere Nutzer in Internetforen entsprechende Antworten von Experten erhalten. Seriöse Quellen für empfehlenswerte Software sind die Computerzeitschriften „c’t“ und „Chip“ unter www.heise.de/software und www.chip.de.
6. Legen Sie eine Kladde für Kennwörter an – und benutzen Sie für die verschiedenen Dienste möglichst unterschiedliche Kennwörter. Sichere Kennwörter sind nicht kürzer als acht Zeichen; es hilft, Groß- und Kleinbuchstaben zu mixen, Zahlen einzubauen und Sonderzeichen. Wenn Sie häufig im Internet unterwegs sind, können Sie eine „Masterpasswort“-Funktion des Browsers Firefox nutzen: Nur bei Programmstart ist dann einmalig ein Masterkennwort einzugeben. Für jede Webseite ist es möglich, das Kennwort direkt im Browserprogramm zu hinterlegen, damit es beim nächsten Aufruf der Seite bereits eingetragen erscheint.
7. Wenn Sie zu Hause ein WLAN-Funknetz gespannt haben, um drahtlos mit dem Laptop ins Internet gehen zu können, sollten Sie sich vergewissern, das voreingestellte Kennwort des Funkrouters geändert zu haben. Wie das geht, steht in den Anleitungen zum Gerät.
8. Sichern Sie wichtige Daten immer außerhalb des Rechners. Textdokumente, Fotos und Videos sollten Sie einmal im Monat auf eine externe Festplatte speichern oder auf DVD brennen. Speicherfestplatten sind „Verbrauchsmaterial“, die mit der Zeit verschleißen.
9. Vermeiden Sie kostenlose Angebote: Ohne Hintergedanken verschenkt kaum jemand etwas im Internet. Wer etwa bei „Peer-to-peer“-Angeboten, den Tauschbörsen im Netz, Musik oder Videos kostenlos herunterladen möchte, wird womöglich im ersten Schritt Erfolg haben – sich aber in der Folge strafbar machen, weil diese Börsen zumeist so funktionieren, dass man mit dem Herunterladen auch als Anbieter für andere Netznutzer auftritt. Bei urheberrechtlich geschütztem Material ist das problematisch.
10. Weitere Informationen bietet das Bundesamt für Sicherheit in der Informationstechnik im Internet unter www.bsi-fuer-buerger.de

Sogenannte Botnetze sind das jüngste Mittel in Sachen Computerkriminalität. Die Betreiber dieser Netze machen sich die Kompliziertheit des PCs zunutze, kapern massenhaft Rechner ahnungsloser Internetsurfer und fahren damit unter deren Flagge großflächige Angriffe auf andere Rechner. Auch 20 Jahre nach Aufkommen des Internets sind Computer nicht sicher. Angreifer spähen Kennwörter aus und versuchen damit, Geld zu überweisen oder schlicht Spam zu versenden.

Die Botnetze spielen dabei eine wichtige Rolle: Erst in der vergangenen Woche wurde wieder ein neues Botnetz entdeckt, das aus mehr als einer Million Privat-PCs in aller Welt bestand und noch immer besteht. All diese Computer sind mit Schadsoftware verseucht: Sobald sie online gehen, melden sie sich bei mehreren Master-Servern, ohne dass der Nutzer etwas davon mitbekommt. Auf Befehl dieser Master-Server irgendwo in China, Brasilien oder den USA wird dann der infizierte Computer tätig und bombardiert beispielsweise eine bestimmte Webseite mit ganz normalen Abfragen – mit der Folge, dass dieses Webangebot zusammenbricht.

Nach Einschätzung von Sicherheitsfirmen verbergen sich dahinter mafiöse Unternehmen, die ihre Mitarbeiter mit den Mitteln des Netzes aus aller Welt rekrutieren. Der IT-Sicherheitsexperte Eugene Kaspersky schätzt, dass der jährlich weltweit von Internetkriminellen verursachte Schaden bei knapp 80 Milliarden Euro liegt. „Früher gab es meist nur Hooligans, dann gab es Kriminelle, die sich mithilfe von Schadprogrammen am Geld anderer Leute bereichern wollten“, sagt der Russe, „heute ist die Welt von Cyberkriminellen regelrecht organisiert.“

Eine Armada von einer Million infizierter Privat- und Firmen-PCs lässt sich etwa dafür missbrauchen, massenhaft Werbung für ein dubioses Viagra-Produkt zu versenden. Da wird dann der PC auf dem heimischen Schreibtisch zur Spam-Schleuder, und der Anwender wundert sich lediglich über den langsamen Internetzugang. Schützen kann man sich nur, indem man eine Reihe von Sicherheitstipps beachtet.

Staatliche Agenturen, Sicherheitsfirmen, die Branchenführer wie Microsoft und Google sowie die Provider gehen täglich gegen solche Angriffsszenarien vor. Doch es ist und bleibt ein Katz-und-Maus-Spiel: Sicherheitslücken in Programmen werden entdeckt, bekannt gemacht, durch Updates gestopft – und dann beginnt das Spiel aufs Neue. Angreifer testen, entdecken neue Sicherheitslücken und nutzen diese aus. Je komplexer die Computersysteme, desto größer die Wahrscheinlichkeit, dass an irgendeiner Stelle in Hunderttausenden von Programmzeilen ein Fehler steckt. Jedoch müssen es gar nicht immer die komplexen Systeme sein, die ausgenutzt werden.

Häufig reicht schon „social engineering“ – das Ausspähen durch persönliche Nähe. „Wir haben ein Sicherheitsproblem entdeckt und müssen die Kennwörter überprüfen. Könnten Sie sich mal einloggen?“ heißt es womöglich in einem Anruf, bei dem sich jemand scheinbar seriös mit dem Namen des bekannten Providers meldet. Naheliegend, dass dann das erste eingegebene Kennwort nicht fruchtet und umgehend das eigentliche „zum Helfen“ erfragt wird. Wirklich seriöse IT-Abteilungen in den Unternehmen schulen ihre Anwender dagegen so, niemals ein Kennwort herauszugeben. Die Systeme sind heute so gestrickt, dass der Administrator ein neues Kennwort vergeben und das alte überschreiben kann. Aber selbst der oberste Systemchef kann ein vorhandenes Kennwort nicht auslesen, da es verschlüsselt gespeichert wird.

Das Ent- und Verschlüsseln dieser Kennwörter erledigen die Systeme mittlerweile im Hintergrund, ohne dass irgendjemand darauf Zugriff hat – vorausgesetzt, es wurde nach Industriestandard programmiert. Ein Ende der Sicherheitsprobleme ist nicht in Sicht.
Immer neue Anwendungen lassen immer neue Sicherheitslücken entstehen. Das Grundproblem ist dabei die Anonymität des Internets: Angreifer gelangen über Server ins Netz, die sich durch geschickte Zusammenschaltung zum Verschleiern krimineller Taten nutzen lassen. Bis die Behörden die Urheber ausgemacht haben, oft über Ländergrenzen hinweg, sind die Täter über alle Berge – oder schlicht nicht mehr aufzufinden, weil sie als Zwischenstation beim Angriff fremde, ferngesteuerte Privat- oder Firmen-PCs benutzt haben.

Eine Lösung wäre, das Internet generell nur mit einer Kennung wie dem persönlichen Fingerabdruck zugänglich zu machen – weltweit, in jeder Firma, an jedem Privat-PC, in jedem Internetcafé und Bahnhofs-Hotspot. Dann ließe sich viel einfacher als bisher jeder Angriff bis zum Urheber zurückverfolgen. Andererseits: Der Datenschutz wäre damit ebenfalls aufgehoben – weltweit.

1936: W48 Telefon (Siemens-Pressebild)

Sicherheitsexperten der Technischen Universität (TU) Darmstadt ist es gelungen, mit einem normalen Laptop Gespräche zu belauschen, die über Schnurlostelefone geführt wurden. Konkret knackten die Forscher das Sendeverfahren DECT, das bisher als sicher galt. Damit wird es nach bestätigten Informationen der Experten auch möglich, auf fremde Kosten zu telefonieren – und beispielsweise kostenpflichtige Rufnummern gezielt anzurufen.

DECT ist das weltweit am weitesten verbreitete Verfahren für Schnurlostelefone (nicht zu verwechseln mit der bei Handys eingesetzten Mobilfunktechnik). Es regelt, wie die Handgeräte ihre Verbindung zu einer im Haushalt angeschlossenen Basisstation aufnehmen. Nach Angaben der TU werden in Deutschland 30 Millionen DECT-Geräte genutzt. „Darüber hinaus kommt der Standard in Babyphonen, Notruf- und Türöffnungssystemen, in schnurlosen ec-Karten-Lesern und in Verkehrsleitsystemen zum Einsatz“, sagte einer der Forscher, Erik Tews, am Donnerstag der Hannoverschen Allgemeinen Zeitung.

Die Experten berichteten von ihrer Entdeckung auf dem 25. Chaos Communications Congress in Berlin, einem Treffen von Sicherheitsexperten aus aller Welt. Demnach reichten eine modifizierte Laptopkarte für 23 Euro und ein Linux-Laptop, um entsprechende Angriffe auszuführen. Laut Andreas Schuler, einem der Forscher, habe es gut einen Monat gedauert, die Geräte so einzustellen, dass damit die illegalen Lauschangriffe möglich wurden. Nach Angaben von Tews ist es darüber hinaus „bei bestimmten Geräten“ möglich, auf diesem Weg auf fremde Kosten zu telefonieren. In einer Großstadt wie Berlin habe er auf Anhieb rund 50 DECT-Netze in einer Straße gefunden, von denen „ein Bruchteil“ bereits mit den jetzt bekannt gewordenen Erkenntnissen knackbar sei.

„Selbst bei aktivierter Verschlüsselung ist es einfach, sich zum Beispiel von einem in der Nähe geparkten Auto aus in ein privates DECT-Funknetz einzuklinken“, erklärte Tews. Ein DECT-Funknetz reicht je nach örtlichen Gegebenheiten bis zu 200 Meter weit. Die Wissenschaftler konnten bei ihren Tests netzfremde Basisstationen mit Mobilteilen interner DECT-Funknetze verbinden.

Denselben Forschern war es bereits vor einiger Zeit als erste weltweit gelungen, eine bestimmte Verschlüsselung von Computerfunknetzen (WLANs) zu umgehen – mit der Folge, dass zahlreiche Geräte unbrauchbar wurden.

Zu Hilfe sei den Forschern eine Schwachstelle im DECT-Verfahren gekommen. So sind viele Schnurlostelefone durchaus in der Lage, die Gespräche zu verschlüsseln – doch genügte während der Experimente allein das Aussenden eines Signals, wonach in dem jeweiligen Funknetz Verschlüsselung nicht unterstützt werde, um die Geräte auf unverschlüsselte Kommunikation umzuschalten. Bei ihren Arbeiten nutzten die Experten frei zugängliche Informationen im Internet, darunter Unterlagen der Patentanmeldung einer Firma in Spanien.

Als sichere Alternative gelten nach Angaben der Darmstädter derzeit schnurgebundene Telefone. Auch Handys und öffentliche Mobilfunknetze gelten als sicher. Nachträgliche Sicherheits-Updates seien dagegen bei den meisten DECT-Geräten nicht möglich.

Kommentar: Hellhörig gemacht

Mal langsam: Auch nach den jüngsten Nachrichten von der Hacker-Front muss sich niemand sofort eine neue Telefonanlage samt Schnurlosgeräten zulegen. Aber möglicherweise bald. Denn seit dem Jahreswechsel ist bekannt, dass der technische Standard für Schnurlostelefone von Darmstädter Forschern geknackt werden konnte – und Telefonate damit künftig deutlich leichter belauscht werden können. Was nun aussteht, sind klare Stellungnahmen der Gerätehersteller.

Die Gefahr, künftig beim Telefonieren belauscht zu werden, ist ungefähr so realistisch wie die Gefahr, mittels Richtmikrofon oder Wanze von Fremden abgehört zu werden. Wer es darauf anlegt, hatte schon vorher Mittel und Wege, Gespräche zu belauschen. Nun kommt das Laptop als Angriffswaffe hinzu. Es einzusetzen ist lediglich eine Frage der kriminellen Energie und des Aufwands.

Noch sind die Anleitungen, die die Experten veröffentlicht haben, nicht detailliert genug, um eine Welle von Lauschangriffen auszulösen. Doch ist es lediglich eine  Frage der Zeit, bis andere die Erkenntnisse aufgreifen und weiterentwickeln. So ist durchaus zu befürchten, dass demnächst Angriffe per Laptop-Funk auf Schnurlostelefonnetze in Privathaushalten mit dem Ziel gestartet werden, um auf fremde Kosten zu telefonieren.

Das sollte hellhörig machen. Die Darmstädter pflegen einen offenen Umgang mit ihren Erkenntnissen, weil sie meinen, nur so die Hersteller von Telefonen zu Änderungen bewegen zu können. Wer also bei sich zu Hause oder am Arbeitsplatz Schnurlostelefone einsetzt, sollte demnächst beim Telefonhersteller nachfragen, was daraus geworden ist. Und weiterhin wachsam bleiben.

Von Marcus Schwarze