Die 10 Mythen des sicheren Web-Surfens

Passend zur laufenden Fußball WM gibt es wieder einige kompromiterte Webseiten, die z.B. falsche Tickets verkaufen oder einfach nur Malware verschleudern. Das Gleiche passiert auch zur EM, zur Bundeskanzlerwahl (keine Anspielung) oder bei beliebigen Themen, die sich großer (Such-)Beliebtheit erfreuen. Die meisten Internetbenutzer sind sich der Situation da draussen nicht bewusst. Ich möchte gerne mit einigen Mythen aufräumen:

Mythos 1 – „Das Internet ist sicher, ich wurde noch nie mit Malware infiziert“

Die meisten Besitzer eines infizierten PCs erkennen diesen Zustand nicht. Einige Angriffe aus dem Web sind auch nicht unbedingt darauf ausgelegt, den Rechner als solchen zu infizieren, sondern sie holen sich Daten wie Kreditkartennummern, Kontonummern oder „banale“ valide Email Adressen und verschwinden lautlos.

Mythos 2 – „In meiner Firma verschwenden die Mitarbeiter keine Arbeitszeit mit dem Herumsurfen auf unangebrachten Webseiten“

Ohne irgendeine Art von Webfilter zu installieren kann man solche Behauptungen nicht aufstellen. Zudem haben die meisten Internetnutzer innerhalb der Firma ein anderes Verständnis von „unangebracht“ als z.B. der Datenschutzbeauftrage. Themen wie Schutz der Minderjährigen, z.B. der Azubis im Betrieb, haben auch Auswirkungen auf Richtlinien gegenüber der Internetnutzung.

Mythos 3 – „Wir kontrollieren die Webnutzung und unsere Benutzer kommen an unseren Richtlinien nicht vorbei“

Es gibt mittlerweile eine Fülle von Anonymisierungs-Proxies, die es dem Nutzer einfach machen, an Firewall und Co. vorbeizukommen. Die Nutzung eines eigenen UTMS Modems am USB-Port ist wahrscheinlich eine noch die einfachere Methode. Funktionierende Masssnahmen, die an Sperrungen beliebiger Art vorbeiführen, sprechen sich sowieso am schnellsten rum. Suchen Sie doch mal nach -anonymous proxy- bei Ihrer Lieblingssuchmachine.

Mythos 4 – „Nur Porno-, Wett- oder andere fragwürdige Seiten sind gefährlich“

Fast 83% (Quelle: SophosLabs) der kompromittierten Seiten sind glaubwürdige, vertraute und (ehemals) legitime Webseiten. Man muss das mal aus der betriebswirtschaftlichen Brille des Hackers sehen: Warum einen Webserver hacken, wo sich nur Wenige tummeln, wenn ich mit wenig mehr Aufwand wirklich beliebte Seiten und dementsprechend mehr Opfer haben kann. Millionen Ameisen können nicht irren. SEO Poisoning ist quasi der Schwipp-Schwager davon.

Mythos 5 – „Nur Naive infizieren sich mit Malware und Viren“

Im Microsoft Security Response Centre war vor ein paar Wochen die Warnung für eine Lücke im aktuellen Internet Explorer mit „Browse and own“ relativ deutlich auch für Laien dokumentiert. D.h. das Besuchen einer Webseite reicht aus um infiziert zu werden. Keine Interaktion nötig. Das passiert auch Fachmännern und -frauen (oder umgekehrt, der Blog der Gleichstellungsbeauftragten ist nebenan –  Mama wird mich hassen).

Mythos 6 – „Man infiziert sich nur, wenn man auch etwas herunterlädt“

Mutwillig etwas herunterladen ist ein zweischneidiges Schwert: Ein kompromittierter Videocodec, um Shakria tanzen zu sehen (wer mag), ein Treiber um die Webcam zu teilen (neigungsabhängig), Konfigurationseinstellungen (Firefox wird schneller oder auch nicht) oder ein beliebiges anderes Stück Software, wie z.B. FakeAV, ist nur Mittel zum Zweck und wird nicht als Herunterladen wahrgenommen. Und wie in Mythos 5 beschrieben ist das manchmal gar nicht nötig.

Mythos 7 – “ Firefox ist sicherer als Internet Explorer“

Man kann den Satz zu bestimmten Zeiten umdrehen und die Browser durch Chrome, Opera, Safari, Flock, K-Meleon, usw. ersetzen.  Es ist leider nicht immer nur der Browser an sich, der verwundbar ist, sondern abhängige Komponenten wie Plug-Ins, Add-Ons und andere bewegliche Teile, die der Browserhersteller nicht in seinem Hoheitsbereich hat. Bei Plug-Ins und Co. zählt im Moment: Weniger ist mehr.

Mythos 8 – „Wenn das Sicherheitsschloss Icon auftaucht ist alles sicher“

Das Schloss bedeutet im Wesentlichen die Anzeige für eine SSL-Verschlüsselung der Verbindung zwischen Browser und Webserver. Das hat keine wesentliche Auswirkung auf Malware. SSL ist lediglich ein Transportschutz. Das kann Malware zum Teil als Vorteil ausnutzen, da die Verschlüsselung des Transports auch die Malwaredaten „schützt“. Phishingopfer haben wohl auch das aktive Sicherheitsschloß gesehen aber nicht auf die Echtheit des Zertifikats geachtet.

Mythos 9 – „Websicherheit ist ein Kompromiss“

Seit facebook, Twitter, Xing und Co. bei Firmen in den verschiedensten Abteilungen (Personal, Marketing, Verkauf) Einzug gehalten haben, wurden die Rufe nach mehr Restriktionen laut. Das ist nicht notwendigerweise so. Ein guter Gatewayschutz und ein vernünftiges Regelwerk können genügend Freiraum auch im Social Media Bereich gestatten.

Mythos 10 – „Mobile Benutzer sollten nicht direkt auf das Internet zugreifen können“

Von Unterwegs im Internet zu surfen ist für viele Laptopbenutzer in Firmen eine größere Baustelle. Man muss sich dazu oft erst in die Firma einwählen, um zwangsweise über den Proxy Server (der im Firmennetz steht) zu surfen. Theoretisch ist das richtig so, praktisch führt es aber zum Frust-Bier an der Hotel Bar, wenn es nicht klappt. Eine Lösung auf dem mobilen Gerät, die eine ähnlich gute Sicherheit bietet, wie der Gateway-Schutz, hilft da Wunder…

Advertisements

7 Responses to Die 10 Mythen des sicheren Web-Surfens

  1. otto says:

    guten abend herr pfeiffer,

    waeren sie damals in der otto hahn schule auch so eine corifee, waere der rest des jahrgangs vieleicht auch so erfogreich

    gruesse

    • War ich so schlimm? Schon ein bisschen gruselig, dass mich die Schule nach so langer Zeit wieder heimsucht und kein Ansporn liebe Kinder, das Abitur (wenn überhaupt) nur so hinzuknüddeln und zu hoffen, dass es danach „irgendwie schon läuft“!

  2. otto says:

    sorry fuer das gebrochene deutsch,

    nein, sie waren nicht schlimm. keinefalls.
    das letzte jahrgangstreffen wurde mit einer besichtigung der schule verbunden(oberstufenleiter hoffmann). in die schule wurde kaum investiert. ausser einer kaffeebibliothek mit dvdfilmen und computerspielen zum ausleihen.

    bei der annemarie ludwig kann man sich eintragen um ueber deas naechste treffen informiert zu werden

  3. anne says:

    hier die email

  4. anne says:

    ist ihre emailadresse,

    die ziehen ne generation von kuschlpaedagogen hoch. alles schoen bei kaffe bereden bis es zeredet ist mit ohne ergebnis. oder alle sagen ja und keiner haelt sich dran.
    und dann trifft man sich wieder auf nen lockeren kaffee,. erinnert mich an die bruchkoebel nord schule.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s