Computersicherheit (4)

Phishing

∅ 5 / 1 Bewertungen

Phishing

Die größte Gefahr lauert derzeit im Phishing. In der Regel werden die Nutzer bei diesem Trickbetrug auf gefälschte (Bank-)Webseiten gelotst, die den Originalen täuschend ähnlich sehen. Einige Augenblicke später besitzt der Angreifer die PINs und TANs des Opfers und schließlich auch dessen Geld.

Die wichtigste Abwehrmaßnahme gegen Phishing ist keine technische: Bank- und andere wichtige Geschäftswebseiten steuert man nie über einen Link an! Besonders Links aus Emails sind absolut tabu! Die in Handarbeit eingetippte Adresse muss zwar auch nicht zwingend korrekt sein, führt aber auch kaum an die Angelhaken der Phisher.

Sicherheitsstufe 2 greift, wenn sich die Website jetzt öffnet. Alle Bankingportale und die meisten Onlineshops werden verschlüsselt (https: statt http:) übertragen. Die Verschlüsselung des Datenkanals mag wichtig sein, aber entscheidender ist, dass zu jeder Verschlüsselung eine eindeutige Authentifizierung per digitalem Zertifikat gehört. Ein derartiges kryptografisches Zertifikat ist wie ein Ausweis. Die ausstellende Behörde (die Zertifizierungstelle) garantiert dafür, dass die Deutsche Bank (im Web) wirklich die Deutsche Bank (in der Realität) ist.

Phishingfilter

Mit großem Medienlob wurde die Einführung der Phishingfilter in die aktuelle Browsergeneration gefeiert, die den Nutzer vor Internetbetrug bewahren soll. Dabei ist die Technik dieser Filter wenig innovativ. Die angesurfte Webseite wird gegen eine Positiv- (Internet Explorer) bzw. eine Negativliste (Firefox) gecheckt. Diese Listen liegen auf dem eigenen Computer und sind damit im gewissen Sinne das Gegenstück zu den Signaturdateien der Virenscanner. Ihre größte Schwäche: Sie sind praktisch nie aktuell und alles andere als vollständig. Da dies auch kaum zu gewährleisten ist, werden die fraglichen Webadressen anschließend zwecks zweiter Überprüfung zu Microsoft (Internet Explorer) bzw. zu Google (Firefox) geschickt. Dies erfolgt beim Internet Explorer automatisch, während die vergleichbare Funktion des Firefox aktiviert werden müsste.

51872_imgeP7wSV.gif

Phishingwarnung in Firefox

Datenschutz und Phishingfilter

Was bleibt ist die Frage des Datenschutzes: Schließlich können Microsoft und Google auf diese Weise die Surfgewohnheiten jedes einzelnen Nutzers perfekt nachvollziehen. Immerhin scheinen die Macher des Firefox ein schlechtes Gewissen zu haben, denn bei Betätigung der entsprechenden Schaltfläche weist eine großformatige (englische) Warnung auf die Datenschutzproblematik hin.

51873_imgGchy1V.gif

Phishingfilter mit schlechtem Gewissen - Firefox-Daten gehen an Google

Bedenkt man dazu die verhältnismäßig schlechte Wirkung der Phishingfilter kann es für den Internet Explorer nur eine Empfehlung geben - Phishingfilter (genauer gesagt die Datenübertragung) abschalten! (Extras/Phishingfilter/Phishingfilter Einstellungen/Automatische Websiteprüfung ausschalten.)

Die Einstellungen in Firefox: Extras/Einstellungen/Sicherheit/Hinweis anzeigen... und Überprüfen unter Verwendung einer lokal gespeicherten Liste.

Fazit

Webbrowser arbeiten, bildlich gesprochen, in vorderster Reihe. Deshalb verwundert es nicht, dass sie ein beliebtes Ziel von Angriffen sind. Als generelle Schwachstelle erscheint regelmäßig die Fähigkeit der Browser, aus dem Web gelieferte aktive (Programm-)Inhalte zu verarbeiten. Das gelegentlich propagierte komplette Abschalten dieser aktiven Elemente im Webbrowser (Javascript, ActiveX, Flash usw.) mag dem Geist von Berners-Lees HTML aus dem Jahr 1989 entsprechen - eine Lösung ist es nicht. Zahlreiche Websites des Jahres 2007 sind so schlicht nicht mehr sinnvoll darzustellen.

Kein Webbrowser ist vor Angriffen sicher. Hier helfen nur regelmäßige Updates und maßvolle Sicherheitseinstellungen. Gerade bei der Sicherheitskonfiguration gewinnt der Herausforderer Firefox mit seinen wenigen, aber äußerst effektiven Verwaltungsoptionen klar vor dem Internet Explorer. Auch für Microsofts Browser mag es sichere Einstellungen geben. Ehe man diese gefunden hat, dürfte man sich allerdings in dem verfilzten Geflecht von vier Zonen und insgesamt weit mehr als 100 Schalterchen komplett verheddert haben. Erschwerend kommen die merkwürdigen Koppelgeschäfte hinzu, die dazu führen, dass man keinen Flash-Player ohne ActivX und kein JavaScript ohne VBS bekommen kann.

In diesem Sinne erscheint der schlankere Firefox als erste Wahl für den Internetalltag. Selbstverständlich will auch dieser Browser gut konfiguriert und gewartet sein. Einige wenige Webseiten werden sich aber nur mit dem Internet Explorer komplett und korrekt darstellen lassen. (Darunter natürlich www.microsoft.com!) Hier wird man punktuell auf den Internet Explorer ausweichen müssen.

Alle technischen Mittel versagen bei allzu sorglosem Umgang mit dem Internet!

Übersicht über die Konfigurationsvorschläge

Ziel war es, eine sichere und zugleich alltagstaugliche Konfiguration für Firefox als Standardbrowser zu finden. Der Internet Explorer, bei dem der Nutzer sich des höheren Sicherheitsrisikos bewusst sein sollte, wird nur dann zum Einsatz kommen, wenn Firefox versagt. Er wurde in seiner Konfiguration nur vorsichtig angepasst, um keine zusätzlichen Kompatibilitätsprobleme zu verursachen.

Firefox:

Update einrichten:

Extras/Einstellungen/Erweitert/Update

JavaScript aktivieren
Java deaktivieren

Extras/Einstellungen/Inhalt

JavaScript-Optionen

Extras/Einstellungen/Inhalt/JavaScript.../Erweitert

vor Add-ons warnen

Extras/Einstellungen/Sicherheit

Überblick über Add-ons

Extras/Add-ons

Cookies automatisch löschen

Extras/Einstellungen/Datenschutz/Cookies

Daten automatisch löschen

Extras/Einstellungen/Datenschutz/Persönliche Daten

Passwortspeicherung verhindern

Extras/Einstellungen/Sicherheit/Passwörter

keine Phishingmeldung an google

Extras/Einstellungen/Sicherheit/Hinweis anzeigen

Internet Explorer:

ActiveX sichern

Extras/Internetoptionen/Sicherheit/Stufe anpassen, Rubrik: ActiveX

Fremd-Add-ons blockieren

Extras/Internetoptionen/Erweitert/Einstellungen/Browsen

Überblick über Add-ons

Extras/Internetoptionen/Programme/"Add-ons verwalten"

Cookies löschen

manuell über: Extras/Browserverlauf löschen

persönliche Daten löschen

manuell über: Extras/Browserverlauf löschen
Batchdatei: cookiekiller.bat

Passwortspeicherung verhindern

Extras/Internetoptionen/Inhalte/AutoVervollständigen/Einstellungen

keine Phishingmeldung an MS

Extras/Phishingfilter/Phishingfilter Einstellungen

Flashcookies

Flashcookies deaktivieren

Rechtsklick auf Flash-Animation/Erweitert/Globale Speichereinstellungen

Flashcookies löschen

c:\Dokumente und Einstellungen\<Benutzer>\Anwendungsdaten\Macromedia\Flash Player leeren

Nützliche Links

heise.de/security/dienste/browsercheck ... Kontrolle des eigenen Browsers und viele nützliche Tipps und Informationen

bsi-fuer-buerger.de ... ein Bundesamt ganz bürgerfreundlich: leicht lesbar und kompetent

mozilla.com ... Testsite für den Firefox-Phishingfilter

"Browserkrieg" ... heute schon Geschichte: Hintergründe zum so genannten Browserkrieg