Eisenharte Surfer

Ohne Web geht es nicht mehr - und damit auch nicht ohne Sicherheitsmechanismen. Denn dass im WWW nicht nur nette Leute unterwegs sind, das hat sich mittlerweile überall rumgesprochen.

Trotz der eindeutigen Risiken gibt es noch immer einige eisenharte Surfer, die standhaft jedwede Sicherheitsmaßnahme verweigern. Nach dem Motto „No Risk, No Fun“ verzichten sie auf einen Virenscanner ebenso wie auf eine Personal Firewall oder die Installation von Security-Patches.

Erkundigt man sich, weshalb das so ist findet man eine ungesunde Mischung aus Unwissenheit, falscher Einschätzung und Ignoranz.

Am einfachsten sind diejenigen zu „bekehren“, die einfach die Risiken nicht kennen: Sie sehen zwar, dass beim Start des Browsers viele Fenster mit aufgehen, aber das war (gefühlt) "schon immer so" (?!) und wenn man alle Fenster schließt ist es ja wieder OK. Das eine Fenster, mit der Kaufempfehlung für potenzsteigernde Mittel kommt zwar immer wieder, aber das ignoriert der Betroffene eben. Bringt man dann ihr System auf einen aktuellen Stand und installiert einen Virenschutz, sind die Betroffenen oft überrascht, wie effektiv auf einmal das System arbeitet.  Denn all die unerwünschten Programme die sich eingenistet haben, sind Vergangenheit und damit auch die Reduzierung von System-Ressourcen.

Schwieriger sind die Fast-Sicherheit-Experten: Die nutzen zwar einen Virenschutz, haben aber entweder eine Uralt-Version mit einem minimalen Schutzumfang oder im schlimmsten Fall, gleich eine Scareware bzw. Rogueware installiert (für die sie auch noch bezahlt haben). Diese Anwender sind zwar bereit, für ein Smartphone mehrere hundert Euro auszugeben und scheuen sich auch nicht, für einen guten PC mehrere Tausend Euro hinzublättern. Geht es dann um eine Security-Suite für 40€, setzt jedoch auf einmal der Sparwille ein. Weshalb für eine Suite Geld ausgeben, wenn es doch die Free- oder Share-Ware für 0 € auch tut?

Prinzipiell ist das richtig, doch es kommt auf die Rahmenbedingungen an. Die Gratis-Version von Antivir ist ein ausgezeichneter Virenscanner – aber der Schutzfaktor beschränkt sich primär auf Schadsoftware und ist nur für nicht gewerbliche Nutzungen umsonst. Wer auch im Web vor den anderen  zahlreichen Bedrohungen geschützt sein will oder etwa beim Online-Banking, sollte auf ein professionelles Produkt ausweichen! Aber der Fast-Sicherheits-Experte erkennt das Problem und ist i.d.R. auch bereit nachzubessern, wo es nötig ist!

Schwierig ist es aber mit den eisenharten Surfern, die auf alles verzichten! Der Satz „Ich surfe nur auf sicheren Webseiten“  ist dabei das Credo der Anwender. Doch dieses Glaubensbekenntnis ist angesichts der WWW-Realität bedeutungslos!

"Es gibt keine sicheren Webseiten"

Prinzipiell, so die Meinung des Autors, gibt es keine sichere Webseite. Es gibt natürlich Webseiten mit einem sehr, sehr geringen Risiko. Im Gegensatz dazu gibt es Webseiten, die ein erhöhtes Risiko haben.

Die Gründe sind vielfältig. Es kann an der Administration der Webseite liegen, in der Art des Contents, an der Rechtslage des Landes, in dem die Domain gehostet wird, im  verwendeten Content-Management-System, in der Gesinnung des Webseitenbetreibers und vielen anderen Einzelpunkten.

Eine pauschale Aussage, nachdem  (jede Seite in China Malware enthält) , ist ebenso Unsinn, wie die Behauptung,  dass Porno-Seiten generell mit Viren behaftet sind. Es kommt immer auf die Webseite an.

Schadsoftware kann einem auch auf der vermeintlich guten, deutschen Webseite begegnen. Wobei das Risiko bei einer professionell betreuten Seite (Ausgebildeter Administrator, geprüfter Content, wenig Werbung, überschaubare Scripte, sicheres Web-System, regelmäßige Security-Kontrollen etc.) vermutlich geringer ist.

Doch wie schaffen es die eisenharten Surfer sicher zu surfen? Nun sie schaffen es nicht; sie hatten bisher wahrscheinlich nur Glück. Aber irgendwann endet jede Glückssträhne. Der ultimative Schutz, um auf gefährliche Webseiten zu treffen, die Link-Kontrolle, ist nämlich wirkungslos.

SecuTeach.de Link-Test

Link-Kontrolle? "Ach ja, bevor Sie auf einen Link im Web anklicken, kontrollieren Sie einfach, wohin dieser führt. Leitet er sei zu einer anderen Webseite weiter, die ggf. im bösen Bereich liegt, einfach nicht darauf klicken. Freundlicherweise zeigen ja die Browser immer am untern Fensterrand an, wohin der Link führt, wenn man den Mauscursor auf den Link setzt. Wer hier genau kontrolliert, dem kann auch nichts passieren!", heisst es.

Hinweise auf Camouflage-Techniken wie CR-Codes, URL-Verkürzer und Web-Redirection kann man sich sparen. Einfacher ist es hier, den eisenharten Surfer einfach mal den secuteach Link-Test zu zeigen. Denn hier wird mit einfachsten Mitteln eine Link-Verschleierung betreiben, die aufzeigt, wie wenig wirksam einen Link-Kontrolle wirklich ist.

Dabei bleiben komplexere Methoden unberücksichtigt, etwa die Redirection via Konfigurationsdatei .htaccess oder Mechanismen aus der SEO-Branche (Search Engine Optimization) wie Cloaking. Beim Cloaking werden Webseiten abhängig vom sog. User-Agent generiert; ist es ein Browser, bekommt dieser andere Inhalte angezeigt als ein Crawler-Bot.

Auch von der Annahme, dass man für diese Methoden der „Link-Verschleierung“ ein komplexes Fachwissen benötigt, kann man sich verabschieden. Im WWW gibt es SEO-Tools, die dem Anwender unter die Arme greifen. Selbst ein Laie kann mit einem komfortablen SEO-Tool wie "htaccessredirect" ohne Fachwissen eine Webseitenweiterleitung initiieren. So wird dann aus dem Link www.guteseite.de, der auch so angezeigt wird, schnell eine Weiterleitung zu einer ganz anderen Adresse.

Fazit:
Auch eisenharte Surfer werden es lernen, dass die althergebrachten Security-Tipps wie „Schau wohin der Link geht, bevor du darauf klickst“ heutzutage keinen Bestand mehr haben. Wer heute sicher surfen will, braucht ein professionelles Sicherheitssystem für die Standard-Fälle und auch eine Portion gesunden Menschenverstand für die Sonderfälle, bei denen die Technik nicht weiterhilft (Motto: Niemand verschenkt etwas im Web!).

Ralph Dombach

IT Sicherheit ist wichtig für Behörden, Unternehmen & private Nutzer! Ich will Computer-Security unterstützen & etablieren (Impressum: http://bit.ly/12dRpXU )

Das könnte dich auch interessieren...

3 Antworten

  1. Zuwrath sagt:

    Habt ihr schon einen Bericht über TOR gemacht?

  2. Jörg sagt:

    Früher habe ich es mir zur Aufgabe gemacht, die Links in Pishing-Mails an zu klicken und die Webseite auch brav aus zu füllen. Natürlich nur mit falschen Angaben, um die Datenbanken der Pisher mit Müll zu füllen.
    Aber selbst das habe ich mir abgewöhnt, da Exploits leider inzwischen häufig die "kostenlose Dreingabe" sind. Da nützen dann auch keine falschen Angaben.
    Generell ist es inzwischen also vorbei mit dem Spaß, mal eben so auf eine Seite zu gehen und sich sicher zu sein, dass nichts passiert, solange man doch nur liest.
    Eine Arbeitskollegin hatte letztens (auf Grund einer Mail) eine Seite von "Amazon" ausgefüllt um eine nicht gemachte Bestellung von ihr zu stornieren. Logisch, das Ganze war eine Pishing-Mail. Das wurde ihr dann auch bewusst, als sie neben Ihren Kreditkartendaten dann auch noch ihre Bankdaten eingeben sollte. Sie fragte mich dann, ob sie sich trotzdem Sorgen müsste, denn schließlich habe sie ja auf "Abbrechen" und nicht auf "Senden" geklickt.
    Ich antwortete mit der Gegenfrage, ob sie denn wirklich glaubte, dass jemand der ihre Bankdaten klauen wollte wirklich so fair wäre, auf die Taste "Abbrechen" auch tatsächlich die gleichnamige Funktion legen würde.
    Unglaublich, wie naiv man doch manchmal sein kann. Dabei schließe ich mich selbst nicht aus. Bis jetzt hatte ich halt Glück und war aufmerksam.