Best of Freeware

10. März 2010 08:18; Akt: 15.03.2010 10:46 Print

So sichert man seinen Rechner ab

von Henning Steier - Heute ist Swiss Security Day. Anlässlich des fünften nationalen Tages der Computersicherheit zeigt 20 Minuten Online, wie man seinen PC gratis schützen kann – vor neugierigen Kollegen, Viren und der eigenen Faulheit.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Wer nur mal schnell seinen Arbeitplatz verlässt, um sich in der Kantine einen Kaffee zu holen, lässt seinen Rechner dabei oft an. Bis dieser sich automatisch in den Standby-Modus versetzt, vergeht aber in der Regel mindestens eine Minute. Zeit genug für Kollegen, mit wenigen Klicks an die Passwörter des Abwesenden zu kommen. Denn dazu muss man nur im Browser Firefox unter Einstellungen ins Menü Sicherheit gehen und dort die Schaltfläche Gespeicherte Passwörter anklicken. Schon sieht man, welche der Nutzer gewählt hat. Verhindern kann dieser das Ganze, indem er sie mit einem Master-Passwort schützt, welches sich über dasselbe Menü einrichten lässt.

Falls jemand dies getan hat, ist davon auszugehen, dass er auch so clever war ein schwer zu knackendes Passwort zu wählen. Wie man ein solches findet, dazu stehen im Netz unzählige Anleitungen bereit. Auf den Hilfe-Seiten von Google heisst es beispielsweise: «Die Passwörter für Google-Konten sollten aus mindestens acht Zeichen bestehen, Zahlen und Buchstaben kombinieren und keine allgemein gebräuchlichen Wörter enthalten. Wählen Sie ein Wort oder ein Akronym aus und fügen Sie zwischen einigen Buchstaben Ziffern ein. Verwenden Sie Interpunktion. Verwenden Sie eine Mischung aus Gross- und Kleinschreibung.»

Allerdings beweisen Attacken von Cyberkriminellen aber immer wieder, dass bei weitem nicht alle Surfer Tipps wie die obigen beherzigt haben. Wie 20 Minuten Online berichtete, hatten Hacker im Herbst 2009 die Login-Daten von über 10 000 Hotmail-, MSN und Live.com-Postfächern erbeutet und sie Anfang Oktober auf pastebin.com veröffentlicht. Auch tausende Besitzer von Gmail-, AOL- und Yahoo-E-Mail-Adressen waren betroffen. Sicherheitsexperte Bogdan Calin veröffentlichte wenig später in seinem Blog die Ergebnisse seiner Untersuchung der Passwörter der rund 10 000 geknackten Microsoft-Postfächer. Calin hatte die Liste kopiert, bevor sie entfernt wurde. Sie enthält aber nur Passwörter von Account-Namen, die mit «A» oder «B» anfangen, daher ist davon auszugehen, dass sie nur ein Auszug aus einem längeren Dokument ist. Laut Calin war das am häufigsten verwendete Passwort «123456», welches 64-mal verwendet wurde. Platz 2 belegte «123456789», welches die virtuelle Tür zu 18 Accounts öffnete. Ausserdem wurden in 42 Prozent der Fälle nur kleine Buchstaben verwendet, nur sechs Prozent der User kombinierten Buchstaben und Zahlen. Etwa 2000 der Passwörter waren nur sechs Zeichen lang. Das längste hatte immerhin 30: «lafaroleratropezoooooooooooooo». Die fünf beliebtesten Passwörter sind in der obigen Bilderstrecke zu sehen. Hacker hatten die Passwörter gestohlen, indem sie Nutzer auf eigene Webseiten umleiteten, wo sie ihre Login-Daten eingaben. Daher war es in diesem Fall unwichtig, wie schwer zu knacken die Passwörter waren.

Ampel für Websites

Wie aber kann man unter den Milliarden Webseiten die gefährlichen ausmachen? Zumindest ein wenig Schutz vor Abzocker-Webseiten bietet die Erweiterung WOT (Web of Trust), welche für Firefox, Chrome und Internet Explorer zum Download bereitsteht. Hat man sich überdies kostenlos angemeldet, wird einem die Vertrauenswürdigkeit einer Website durch farbige Markierung angezeigt. Ist man in eine Falle getappt, kann man als Teil der Community zumindest andere Nutzer vor dieser warnen. Bewertet werden Kriterien wie Vertrauenswürdigkeit, Jugendschutz und Datenschutz. Damit man gefährliche Seiten gar nicht erst ansteuert, werden schon Suchtreffer farblich gekennzeichnet. Wie im Strassenverkehr heisst Grün, dass man sich verhältnismässig sicher sein kann und Rot, dass Vorsicht geboten ist. Wie immer gilt, dass eine Community nur so gut ist wie ihre Mitglieder. Man sollte also trotzdem ständig wachsam sein und beispielsweise immer kontrollieren, ob sich beispielsweise in die URL der Online-Banking-Seite ein Buchstabe eingeschmuggelt wurde, der einen auf einer Seite von Hackern landen lässt.

Passwörter sollte man weder für scheinbar Banales wie Community-Accounts noch für Finanzseiten ungeschützt auf dem Rechner speichern. Wer relativ sicher gehen möchte, nutzt eine Freeware wie KeePass. Mit dieser lassen sich die Login-Daten verschlüsselt und mit einem Master-Passwort gesichert unter Windows ablegen. Ausserdem generiert das Programm auf Wunsch ein schwer knackbares Passwort. Dank einer Funktion namens Auto-Type kann man KeePass auch das Anmelden auf Webseiten überlassen. Dies ist in jedem Fall sicherer als wenn man das Passwort vom Browser speichern lässt, weil sich dann jeder, der den Rechner nutzt und nicht den Account wechselt, mit den Daten anmelden kann.

Sehen, was sich dahinter verbirgt

Dank der wachsenden Popularität von Twitter boomen auch Short-URLs, denn die Nutzer haben für einen Tweet bekanntlich nur 140 Zeichen zur Verfügung. Allerdings haben sie den Nachteil, dass man nicht sofort sieht, wohin der Link führt. In Form so genannter Direct Messages (DM) erhalten User immer wieder Nachrichten wie «LOL, bist das du?». Angefügt wird eine Short-URL. Auf der aufgerufenen Webseite werden die Opfer dann aufgefordert, ihre Login-Daten einzutippen. So bekommen die Phisher Zugang zum persönlichen Profil, welches sie missbrauchen, um Nachrichten an die Follower zu versenden. Diese würden dann teilweise auch Spam-Links erhalten, die es auf das Geld der User abgesehen haben, war Ende Februar im offiziellen Twitter-Blog zu lesen. Um den Phishing-Attacken einen Riegel vorzuschieben, können DM-Nachrichten nur noch an Accounts verschickt werden, denen man als User folgt. Bei schon betroffenen Accounts zieht Twitter die Notbremse und löscht sie kurzerhand. In der Blogmitteilung von Twitter wird zudem geraten, nur Profilen zu folgen, denen man auch vertraut, da das wahllose Hinzufügen zu bösen Überraschungen führen kann. Weitere Tipps zum sicheren Umgang mit dem Microblogging-Dienst hat Twitter in einer Kurzanleitung zusammengestellt. Tweets lassen sich aber auch von Nicht-Mitgliedern lesen, sofern der Zwitschernde seine Beiträge für die Web-Öffentlichkeit freigegeben hat. Wer sofort sehen möchte, was sich hinter einer Short-URL verbirgt, dem zeigt dies der Firefox an, sofern man das Add-on Long URL Please installiert hat.

Wer aber nicht nur seine Daten, sondern seinen ganzen Rechner an Diebe verloren hat, der sollte es ihnen wenigstens so schwer wie möglich machen, indem er seine Dateien mit TrueCrypt auf virtuellen Laufwerken ablegt, für die man eine Kennung braucht. Die nur etwa drei Megabyte grosse Software kann nicht nur einzelne Dateien, sondern auch die ganze Festplatte verschlüsseln. Das alles funktioniert selbsterklärend, weil der Anwender nach dem Start des Tools nur wenige Klicks braucht, um seinen PC sicherer zu machen. TrueCrypt ist für alle gängigen Windows-, Linux- und Mac-OS-X-Versionen erhältlich.

Gut kombiniert

Niemals ohne - das gilt auch für den eigenen PC, wenn es um einen Virenscanner geht. Um sich vor den digitalen Parasiten zu schützen, bieten zahlreiche Softwarehersteller kostspielige Programme an. Dass es auch gratis geht, beweist die Firma Avira mit ihrem Programm AntiVir Personal. Es schützt den Computer vor Malware wie Viren, Trojanern, Backdoor-Programmen, Hoaxes, Würmern und Dialern. Dabei wird der Rechner mit der Gratis-Software in Echtzeit auf Eindringlinge gescannt. Zusätzlich können einzelne Downloads, Ordner oder gleich die ganze Festplatte gezielt untersucht werden. Eine automatische Update-Funktion sorgt dafür, dass die Software immer auf dem aktuellen Stand bleibt. Derzeit erkennt AntiVir Personal weit über eine Million Viren. Für Privatanwender ist das Produkt gratis. Da dieser Virenschutz nie perfekt ist, empfiehlt es sich, SpyBot Search & Destroy zu installieren - das Tool findet Spyware auf dem Rechner und entfernt diese mit wenigen Klicks.

Ein unterschätztes, weil geliebtes Sicherheitsrisiko für den PC können Kinder sein. Wer die Freeware Romaco Timeout installiert hat, kann ganz einfach festlegen, ob der Computer nach einer gewissen Zeit heruntergefahren oder sich nur automatisch ausgeloggt werden soll. Nach dem Aufspielen des Programms, bei dem man auswählen sollte, dass die Software für jeden Benutzer des Rechners installiert wird, wählt man ein Passwort, dass andere User eingeben müssten, um Einstellungen zu ändern. Das selbsterklärende Tool steht für alle gängigen Windowsversionen zum Download bereit.