Sicheres Surfen im Internet
Webbrowser
Bodyguards im Internet – wie mache ich meinen Browser sicher?
Oft hört man, das man ausspioniert oder von einem Computer-Virus infiziert werden kann, wenn man im Internet surft. Was stimmt, ist, daß das Aufrufen und Betrachten von Web-Seiten, die nur aus HTML, der "Programmiersprache des Internet", bestehen, vollkommen ungefährlich ist.
Wenn eine HTML-Seite allerdings Java, Javascript- oder Active X-Elemente enthält, sieht die Sache anders aus.
Java, Javascript oder Active X sind nichts anderes als kleine Programme, und diese können tatsächlich Befehle enthalten, die Ihren Computer bedrohen oder Daten abfragen, die Sie nicht preisgeben möchten.
Schützen können Sie sich gegen diese Angriffe nur, wenn Sie die Javascript- und ActiveX-Funktionen in den Voreinstellungen Ihres Browsers ausschalten.
Selbst die Hersteller der Browser empfehlen inzwischen das Abschalten der aktiven Inhalte.
Meist werden die JavaScript- und ActiveX-Progrämmchen nur für grafischen Spielchen benutzt, Internet-Anbieter; die hauptsächlich gute Inhalte anbieten, brauchen JavaScript und ActiveX eigentlich nicht.
Datensicherheit im Internet-Explorer
In 3 Schritten zum sicheren Browser. Eine Anleitung finden sie hier:
http://www.sicherheit-im-internet.de
Datensicherheit im Netscape Navigator
In 3 Schritten zum sicheren Browser. Eine Anleitung finden sie hier:
http://www.sicherheit-im-internet.de
Mit normalen HTML-Seiten, die von einem WWW-Server zu einem Browser übertragen werden, kann man den Besuchern seiner Website nur unzureichend ein dynamisches und benutzerorientiertes Angebot bieten.
Darum wurden verschiedene Mechanismen entwickelt, bei denen zusätzlicher Programmcode in die HTML-Seiten integriert wurde, der beim Nutzer eine nahezu unbegrenzte Funktionsvielfalt und sog.
"aktive Inhalte" ermöglicht.
Allerdings gilt das sowohl im positiven wie auch im negativen Sinn. Heute sind große Teile des Internet-Angebots gar nicht mehr - oder nur mit Einschränkungen - ohne das Herunterladen und Ausführen von zusätzlichen Programmen nutzbar.
Das Internet ist heute immens nützlich, sinnvoll und eigentlich unersetzlich - gleichzeitig erweitern die aktiven Inhalte aber auch die Sicherheitsrisiken auf einen sehr großen Benutzerkreis.
Cookies
Cookies sind kleinere Datensätze, die von einem WWW-Server auf Ihrem Rechner abgelegt werden und danach bei jedem weiteren Zugriff auf diesen WWW-Server wieder zu diesem übertragen werden.
Mit Cookies sind grundsätzlich keine Angriffe auf Ihren Rechner möglich, außer bei Programmierfehlern.
Cookies sind eine praktische Hilfe, um beispielsweise Warenkörbe in elektronischen Kaufhäusern oder ähnliches zu programmieren.
Jedoch ermöglichen Cookies den Betreibern von WWW-Servern, personenbezogene Daten ohne Ihr Einverständnis derart auf Ihrem Rechner zu speichern, dass Ihr WWW-Browser diese Daten zukünftig immer wieder an diese und sogar an gewisse andere WWW-Server schickt, ohne dass Sie darüber informiert werden.
Seit einiger Zeit haben sich sogar viele Firmen in Ringen zusammengeschlossen, indem sie eine gemeinsame Komponente (meist ein Bildchen) von einem zentralen WWW-Server laden.
Dies ermöglicht den angeschlossenen Firmen, alle jemals an eine dieser Firmen übermittelten Daten automatisch zusammenzuführen und so ein perfektes Persönlichkeitsprofil von Ihnen zu erstellen.
Im Gegensatz zu den Beschwichtigungen vieler Firmen werden diese Möglichkeiten intensiv genutzt, siehe beispielsweise die aktuellen Presseberichte über die Absichten der amerikanischen Firma DoubleClick, einem Betreiber eines solchen Cookie Rings.
Wenn Ihnen das nicht gefällt, sollten Sie überlegen, ob Sie Cookies nicht grundsätzlich ausschalten und nur bei Bedarf einschalten wollen. Außerdem sollten Sie die Dateien, in denen Ihr WWW-Programm langlebige Cookies ablegt, von Zeit zu Zeit löschen.
Bei Netscape finden Sie eine Datei mit dem Namen cookies.txt o. ä. meist im Netscape-Installationsverzeichnis, bei Microsoft meistens ein ganzes Verzeichnis.
JavaScript
JavaScript ist eine von Netscape entwickelte und von anderen Herstellern kopierte Sprache für in WWW-Seiten eingebettete Anweisungen, beispielsweise für dynamische optische Effekte. Zwar ähneln JavaScript-Anweisungen äußerlich der nachfolgend beschriebenen Programmiersprache Java, es handelt sich jedoch um völlig verschiedene Dinge.
Mit JavaScript sind grundsätzlich keine Angriffe auf Ihren Rechner möglich, außer bei Programmierfehlern.
Leider gab es viele solcher Programmierfehler, daher sollte man unbedingt wie oben empfohlen immer die neueste Programmversion einsetzen oder aber JavaScript ausschalten.Achtung:
Bei einigen Versionen des Netscape Communicator ist es aufgrund eines Programmierfehlers erforderlich, JavaScript nach jedem Programmstart erneut ein- und wieder auszuschalten, um es zu wirklich zu deaktivieren, man kann sich auf die Anzeige in den Einstellungen nicht verlassen.
Java
Java ist grundsätzlich erst einmal eine vollwertige Programmiersprache wie viele andere Programmiersprachen auch. Sie wurde jedoch besonders mit Blick
auf sichere Verwendung im Internet entwickelt.
Java Applets (Programme), die über das Internet geladen wurden, besitzen nur sehr eingeschränkten
Zugriff auf das eigene System.
Mit Java sind grundsätzlich keine Angriffe auf Ihren Rechner möglich, außer bei Programmierfehlern.
Leider gab es viele solcher Programmierfehler, daher sollte man unbedingt wie oben empfohlen immer die neueste Programmversion einsetzen oder aber Java ausschalten.
ActiveX
ActiveX gibt es nur für den Microsoft Internet Explorer. ActiveX ist ein ähnlicher Mechanismus wie Java, es fehlen jedoch die ganzen Sicherheitsvorkehrungen von Java. ActiveX Controls besitzen daher vollen Zugriff auf das eigene System.
Zwar gibt es einen Mechanismus, der mittels Zertifikaten dafür sorgen soll, dass ActiveX Controls nur dann zur Ausführung gebracht werden, wenn sie von vertrauenswürdigen Programmierern stammen, dieses Konzept enthält jedoch grundlegende Schwächen. Daher sollte man niemals ActiveX Controls vertrauen und wie oben empfohlen immer ActiveX ausschalten.
VBScript
VBScript gibt es nur für den Microsoft Internet Explorer. VBScript ist ähnlich gefährlich wie ActiveX. Daher sollte man wie oben empfohlen immer VBScript ausschalten.
JScript
JScript ist die Microsoft-Implementierung von JavaScript. Zwar gibt es Unterschiede zwischen JScript und JavaScript, aber in Sicherheitsbelangen sind
sich beide Sprachen ähnlich. Daher sollte man unbedingt wie oben empfohlen immer die neueste Programmversion einsetzen oder aber JScript ausschalten.
Verschlüsselung
Grundsätzlich werden alle Daten im Internet unverschlüsselt übertragen, können also mit teilweise nur geringem Aufwand abgehört werden. Solange Sie nur WWW-Seiten abrufen, die sowieso für jedermann zugänglich sind, spielt das keine große Rolle.
Kritisch wird es jedoch, wenn Sie persönliche Daten in Formularfelder eintragen und an WWW-Server übermitteln, beispielsweise Kreditkartennummern, Kontonummern, Transaktionsnummern, Passworte usw. Dann sollten sie darauf achten, dass die Daten verschlüsselt übertragen werden.
Im WWW kann nur vom Server festgelegt werden, ob Daten verschlüsselt übermittelt werden. Die meisten WWW-Browser können Sie jedoch warnen, falls Sie im Begriff sind, Daten unverschlüsselt zu übermitteln, so dass Sie die Übermittlung abbrechen können. Sie sollten überlegen, diese Warnfunktion
einzuschalten.
Die WWW-Programme beherrschen unterschiedliche Verschlüsselungsstärken. 40-Bit-Verschlüsselungen sind mit guten Rechnern in Minuten zu knacken,
128-Bit-Verschlüsselungen kann man derzeit als absolut sicher betrachten. Erst seit wenigen Wochen dürfen WWW-Programme mit 128-Bit-Verschlüsselung aus den USA exportiert werden.
Falls Sie Netscape- oder Microsoft-Produkte benutzen, sollten Sie daher auch aus diesem Grunde auf die neueste Version umsteigen.
Opera-Produkte beherrschen schon länger die 128-Bit-Verschlüsselung.
Weitere Informationen finden Sie auf den im Auftrag des Bundesministeriums für Wirtschaft und Technologie (BMWI) zusammengestellten WWW-Seiten zum
Thema Sicherheit in der Informationsgesellschaft sowie auf den Seiten des Bundesamtes für Sicherheit in der Informationsverarbeitung.
Checkliste zur Browsereinstellung für Internet Explorer und Netscape Navigator
Stellen Sie stets einen Proxyserver ein Wählen Sie hohe Sicherheitsstufen aus Stellen Sie JavaScript und ActiveX ab bzw. begrenzen Sie sie auf lokale Adressen Stellen Sie Java ab, aktivieren Sie es eventuell im Einzelfall wieder oder begrenzen Sie es auf lokale Adressen Aktivieren Sie die Nachfrage vor dem Aufruf externer Programme zur Darstellung von Dateien Stellen Sie das automatische Starten von heruntergeladenen Programmen ab Überprüfen Sie Zertifikate, kontrollieren Sie die Rechte der einzelnen Zertifikate Schalten Sie alle Warnmeldungen ein Aktivieren Sie die Java-Protokollierung Schalten Sie „Cookies nur an Ursprungsserver" ein Stellen Sie das automatisches Update des Browsers ab Überprüfen Sie, welche ActiveX-Controls und Plug-ins installiert sind, löschen Sie sie nach Möglichkeit
Browserfehler: Dein Browser - das unbekannte Wesen
Wenn Sie auch nicht glauben können, wie viele Fehler in den gängigen WWW-Browsern stecken, lesen Sie einfach mal diese Pressemeldungen.
Wahrscheinlich halten Sie dann unsere Sicherheitshinweise für noch eher untertrieben. (mit freundlicher Genehmigung der Universität Münster, Zentrum für Informationsverarbeitung, Rainer Perske)
Die Java-Implementierung aller bisherigen Microsoft-Versionen erlaubt das Ausführen beliebiger Programme. Microsoft erlaubt Unbefugten, beliebige Programme auf Ihrem Rechner auszuführen
Die JavaScript-Implementierung in Netscape 4 erlaubt Unbefugten den Zugriff auf Verzeichnisse, Caches und Konfigurationsdateien einschl. Passwörter Microsoft 5 informiert ungefragt WWW-Seiten-Betreiber, wenn deren Seiten in Bookmarks aufgenommen werden. Microsoft 5 speichern passwortgeschützte Seiten im lokalen Cache und macht sie so für Unbefugte abrufbar.
Die Java-Komponenten von Sun und Netscape geben Unbefugten volle Kontrolle über den Rechner Microsoft verändert Version 5, ohne das nachfolgend genannte Sicherheitsproblem zu beseitigen Microsoft 5 erlaubt Zugriff auf beliebige Dateien und auf die Inhalte der Zwischenablage Java-Programme können ihren Sandkasten verlassen und auf die Festplatte zugreifen.
Netscape 4.0 bis einschl. 4.51 übertragen Daten von der Festplatte an Dritte Netscape und Microsoft übertragen teilweise persˆnliche Cookie-Daten an Dritte Netscape 4.5 speichert alle Formulareingaben an öffentlicher Stelle ab Weiterer Bug JavaScript im Internet-Explorer Weiterer Bug in der Kombination von JavaScript und Java in Netscape 4 Weiterer JScript/VBScript-Bug in Microsoft 4 Bei mehreren gleichzeitig geöffneten WWW-Fenstern können die Inhalte eines Fensters die Inhalte der anderen Fenster ändern VBScript in Microsoft ermöglicht eine völlig neue Art von Viren Programmfehler in Netscape 4.5 mit SSL Vorsätzliches (?) Ausspionieren in Netscape ab 4.06 Programmierfehler in Netscape ab 3.0 Verschiedene Programmierfehler in Netscape und Microsoft Verschiedene Programmierfehler in Microsoft ActiveX von Microsoft ist ein einziges Sicherheitsrisiko Back to top
Alternative Browser
(Quelle: Universität Münster, Zentrum für Informationsverarbeitung, Rainer Perske)
Sie sollten überlegen, ob es für Sie sinnvoll ist, auf eines der vielen anderen, teilweise frei verfügbaren WWW-Browser umzusteigen.
Diese anderen Programme bieten Ihnen zwar vielleicht nicht die Vielfalt an Komponenten und Möglichkeiten, die Ihnen von den aktuellen Programmen der Marktführer geboten werden, doch werden Sie die fehlenden Komponenten und Möglichkeiten in aller Regel überhaupt nicht benötigen.
Jedenfalls können Angreifer keine Fehler in Komponenten ausnutzen, wenn die Komponenten überhaupt nicht vorhanden sind.
An dieser Stelle sei eine Liste mit Alternativen genannt. Die Liste erhebt keinen Anspruch auf Vollständigkeit. Bei den mit (!) markierten Produkten sind mir die oben oder unten beschriebenen Sicherheitsprobleme bekannt.
Das heißt jedoch nicht, dass die anderen, mit (+) markierten Produkte nicht auch Sicherheitsprobleme enthalten könnten, es sind mir nur noch keine bekannt.