Die größten IT-Sicherheitsmythen

Ist die Zwei-Faktor-Authentifizierung über SMS wirklich sicher?

Mythos: Die als 2FA abgekürzte Zwei-Faktor-Authentifizierung gilt gemeinhin als äußerst sicher. Mit dieser Methode geschützte Konten sollen angeblich nicht geknackt werden können.

Hintergrund: Viele Onlinedienste wie Amazon, Outlook.com und Gmail bieten die Zwei-Faktor-Authentifizierung an. Bein Einloggen in den Account sind außer dem Passwort und dem Benutzernamen noch ein zusätzlicher Code einzugeben. Der jeweilige Dienst sendet den Code entweder per SMS an das Handy des Nutzers oder erzeugt ihn alle paar Sekunden neu.

Das sind die Fakten: Entgegen weitverbreiteter Annahmen ist die Zweifaktor-Authentifizierung nicht hundertprozentig sicher. Letztes Jahr gelang es zwei Angreifern, per 2FA geschützte Konten zu knacken, und zwar über zwei Methoden. Bei der einen Methode arbeiteten die Angreifer mit einer vom Mobilfunk-Provider ergaunerten SIM-Karte. Die als SIM-Swapping bezeichnete Methode funktioniert so: Zuerst wird die Handynummer einer bestimmten Person ausfindig gemacht. Anschließend geben die Gauner beim Mobilfunkprovider vor, die Karte verloren zu haben. Nach Versand der neuen Karte durch den Provider haben die Betrüger sie im Briefkasten abgefangen, falls sie den Provider nicht überreden konnten, die Karte an eine andere Adresse zu schicken.

Das benötigte Log-in-Passwort können sich die Hacker per Schadcode von ihren Opfern besorgen. Dieses plus die SIM-Karte erlauben auf ein Konto zu gelangen, das über 2FA geschützt wurde. Im konkreten Fall hatten es die Gauner auf Bitcoin-Konten abgesehen. Einer der Angreifer wurde festgenommen und im Jahre 2018 zu 10 Jahren Haft verurteilt. Der Wert der gestohlenen Bitcoins betrug fünf Millionen Dollar.

Im zweiten Fall gelang laut Amnesty International der Zugriff auf Mail-Konten bei Yahoo und Google über klassische Phishing-Angriffe, obwohl die Konten per 2FA geschützt waren. Betroffen waren Menschenrechtsaktivisten in Nordafrika und im Nahen Osten, denen Phishing-Mails zugesandt wurden. Die Mails gaben vor, Mailkontenprobleme zu melden und wirkten so, als würden sie tatsächlich von Google oder Yahoo stammen. Phishing-Mails und -Sites waren kaum von echten Dokumenten der Anbieter zu unterscheiden. An den Empfänger erging die Aufforderung zur Anmeldung in seinem Account per 2FA. Wer dieser Aufforderung nachkam, gab jedoch sein Konto preis.

So ist Schutz möglich: Um sich gegen SIM-Swapping zu wappnen, muss das Mail-Postfach gut gegen Postdiebstahl durch Angreifer geschützt werden. Hundertprozentig schützt aber auch das nicht gegen SIM-Swapping. Wenn es den Angreifern gelingt, den Mobilfunk-Provider dazu zu überreden, die SIM-Karte an eine fremde Adresse zu versenden, sind die Schutzbemühungen vergebens. Ein U2F-Sicherheitsschlüssel (Universal Second Factor) anstatt einer SMS ist für den zweiten Faktor die bessere Alternative. Er bietet einen kompletten Ersatz für das Smartphone als zweiten Schlüssel. Viele Dienste mit 2FA unterstützen den U2F-Sicherheitsschlüssel, der schon für ein paar Euro zu haben ist. Bei der einfachen Variante wird der U2F-Schlüssel zwecks Identifizierung in den USB-Anschluss des Rechners gesteckt. Manche Keys können aber auch per Bluetooth genutzt werden. Diese Variante wird aber nur von wenigen Diensten unterstützt. Für das Konto bei Google funktioniert ein Bluetooth-U2F-Schlüssel wie in diesem Ratgeber beschrieben.

Wirklich wirksam lassen sich Phishing-Angriffe nur durch ein gesundes Misstrauen gegenüber allen Log-in-Daten anfordernden Mails unterbinden. Sollte Sie Ihr Mailanbieter wegen Problemen kontaktieren, klicken Sie auf keinen Fall auf den Link in der E-Mail. Rufen Sie stattdessen die Startseite des Dienstanbieters auf und melden Sie sich wie gewohnt in Ihrem E-Mail-Account an. Sollte tatsächlich ein Problem bei Ihrem Konto aufgetreten sein, erhalten Sie während der Anmeldung oder in Ihrem Konto eine entsprechende Nachricht angezeigt.

Gegenseitige Blockaden von zwei Virenscannern auf dem PC?

Mythos: Wenn zwei Antivirenprogramme auf dem PC installiert sind, ist mit Windows-Bluescreens zu rechnen. Im anderen Fall gehen beide Antivirentools kaputt, weil sie sich gegenseitig digital auffressen oder das Windows-System blockieren.

Hintergrund: Antivirenprogramme greifen tief in das Windows-System ein. Windows- und Programmierschnittstellen (APIs) sowie das Dateisystem werden bei dem Eingriff fortlaufend überwacht.

Das sind die Fakten: Es ist generell nicht ratsam, unter Windows zwei vollwertige Antivirenprogramme zu installieren. Ohnehin funktioniert das meistens nicht, denn viele Programme verweigern ihre Installation, wenn sie feststellen, dass bereits ein Antivirenprogramm auf dem Rechner installiert ist.

Dennoch gibt es auch hier zahlreiche Ausnahmen. Fast immer lassen sich reine Virenscanner zusätzlich zu einem kompletten Antivirenprogramm installieren. Anders als die Antivirenprogramme verfügen die Scanner über keinen Virenwächter. Unter anderem sind davon die Produkte Kaspersky Virus Removal Tool, F-Secure Online-Scanner, Eset Online-Scanner und Adwcleaner betroffen. Ihre Aufgabe ist es, gezielt nach Schädlingen zu suchen, die bereits ins System eingedrungen sind. Eine kontinuierliche Systemüberwachung zählt nicht zu deren Leistungsumfang.

Dennoch gibt es auch mit aktivem Wächter ausgestattete Sicherheitstools, die Sie zusätzlich installieren können. Ein Tool aus dieser Kategorie ist Acronis Ransomware Protection. Man kann es wirklich empfehlen, weil es vor allem vor Erpresserviren schützt. Dennoch bleiben solche speziellen Tools in aller Regel die Ausnahme.

Grünes Schlosssymbol in der Eingabezeile des Browsers: Sichere Website?

Mythos: Gleich, ob Chrome, Firefox oder Edge - bei allen Browsern erscheint bei einigen Websites ein grünes Schlosssymbol in der Browserleiste. Es soll die Sicherheit der besuchten Website signalisieren. Im Umkehrschluss: Phishing-Sites kommen scheinbar ohne dieses Symbol daher. Stimmt das wirklich?

Hintergrund: Am Schlosssymbol erkennt man, dass die aufgerufene Website ein digitales Zertifikat besitzt und die Daten verschlüsselt übertragen werden. Das entsprechende Zertifikat wird von sogenannten Zertifizierungsstellen ausgestellt. Entsprechend dem für Zertifikate geltenden Standard X509 liefert es unverzichtbare Angaben wie den Namen des Inhabers, der zertifizierenden Stelle, der Seriennummer und der Gültigkeitsdauer. Auf einer per https-verschlüsselten Website sind die Daten einsehbar. Klicken Sie hierzu mit der Maus das vor der Webadresse befindliche Schlosssymbol an. In Abhängigkeit vom genutzten Browser können weitere Klicks nötig sein. (Bei Firefox: "Sichere Verbindung > Weitere Informationen". Bei Chrome: "Weitere Informationen".)

Das sind die Fakten: Ende 2018 fanden Sicherheitsforscher heraus, dass es auch eine Reihe von Phishing-Seiten gibt, die ein grünes Schloss anzeigen. Experten von Phishlabs fanden in ihren Tests heraus, dass das Schlosssymbol bei 49 % der Phishing-Sites angezeigt wird. Einige Anbieter von Zertifikaten kamen sogar auf noch höhere Anteile bei Phishing-Websites, die mit einem grünen Schlosssymbol versehen, also signiert waren.

So ist Schutz möglich: Keinesfalls sollten Sie sich auf das Schlosssymbol allein verlassen. Verfahren Sie deshalb genauso, wie bei Seiten, bei denen ein Phishing-Verdacht besteht. Wichtige Websites wie die von Ihrer Online-Bank oder irgendeinem anderen Finanzdienstleister sollten Sie niemals über einen Link in einer Mail aufrufen. Rufen Sie diese Seiten immer direkt über die Adresszeile Ihres Browsers auf. Außerdem sollten Sie die angezeigte Webadresse immer genau kontrollieren. Im nächsten Punkt finden Sie weitere Tipps.

Übrigens: Google als Hersteller von Chrome machte sich immer dafür stark, dass im Internet alle Websites verschlüsselt werden. Der Macher von Chrome dachte allerdings nicht daran, dass auch Phishing-Seiten https-Verbindungen nutzen können. Nunmehr kommen fast alle Websites verschlüsselt mit grünem Schlosssymbol daher. Aus dem Grund verabschiedete man sich von Grün als Farbe für das Schlosssymbol. In Chrome erscheint es daher in Grau. Firefox und Edge sind bei Grün als Symbolfarbe geblieben.

Wie gut lassen sich Phishing-Mails erkennen?

Mythos: Eine Phishing-Mail lässt sich leicht identifizieren. Die Machart ist plump und die Rechtschreibung schlecht. Niemand fällt darauf herein.

Hintergrund: Auch, wenn Spam-Filter immer weiter perfektioniert wurden, gehen immer mal wieder gefälschte Mails durch die Lappen und landen im Posteingang. Diese Nachrichten haben ein einziges Ziel: Sie wollen Sie auf gefälschte Websites locken, um Ihre Daten zu stehlen.

Das sind die Fakten: Auch, wenn sich viele Phishing-Mails leicht erkennen lassen, sind es dennoch nicht alle. Viele dieser Mails sind recht nah am Original. Zudem entwickeln Angreifer ihre Spam-Mails inzwischen mit fortgeschrittenen Methoden.

Das funktioniert etwa so: Zuerst verbreiten Angreifer einen Trojaner mit dem Namen Emotet in klassischer Weise auf einer großen Zahl von PCs. Falls er dort aktiv werden kann, durchforstet er die vorgefundenen E-Mails. Dabei findet der Trojaner aktuelle Verbindungen zwischen E-Mail-Adressen und wie häufig diese miteinander kommunizieren. Mailinhalte werden analysiert und die passenden Namen zu den Mailadressen aus dem Adressbuch herausgesucht. Mit diesen Informationen ausgestattet, kann Emotet neue gefälschte E-Mails zielgerichtet versenden. Sie stammen dann von Absendern, die den Empfänger häufig per Mail kontaktieren. Inhaltlich passen die Mails ebenfalls gut. Emotet stiehlt von seinen Opfern sogar die Log-in-Daten zu deren Mail-Account. Dadurch müssen die Absender nicht gefälscht werden. Das treibt sogar Experten zur Verzweiflung, denn die gefälschten Mails sind von echten Nachrichten kaum zu unterscheiden.

So ist Schutz möglich: Um sich gegen Phishing-Angriffe zu wappnen, sollten Sie prinzipiell gegen alle Mails misstrauisch sein, die Login-Daten von Ihnen abfordern. Informationen zu aktuellen Phishing-Attacken sowie andere Online-Angriffe finden Sie unter www.onlinewarnungen.de.

Eventuell finden Sie dort Hinweise, ob es sich um eine gefälschte Mail handelt. Falls Sie eine Fälschung identifizieren sollten, sind die Macher der Seite dankbar, wenn Sie einen Screenshot an die Webseite www.onlinewarnungen.de senden. Dort finden Sie unter "Hilfe/Unterstützung" weitere Infos. Sie helfen damit auch anderen Nutzern.

Kann ich über öffentliches WLAN unerkannt surfen?

Mythos: Über ein kostenloses öffentliches WLAN lässt sich anonym surfen.

Hintergrund: Nach der Lockerung des Gesetzes zur Störerhaftung kann jeder ohne rechtliche Probleme ein öffentliches WLAN anbieten. Infolgedessen findet man immer mehr Angebote in den Städten, um kostenlos zu surfen, ohne sich dabei anmelden zu müssen

Das sind die Fakten: Als Nutzer bekommen Sie in der Regel keine Informationen zur Konfiguration des öffentlichen WLANs. Gehen Sie aber davon aus, dass Sie in einem öffentlichen Netz noch ungeschützter surfen als über den heimischen Internetanschluss. Es kann durchaus sein, dass es keine Trennung zwischen Ihrer Netzwerkverbindung und den anderen Teilnehmern gibt. Andere können dadurch unverschlüsselte Daten mitlesen, die über das Internet ausgetauscht werden. Zudem ist eine Speicherung der Daten über das Protokoll des WLAN-Routers möglich. Auf diese Weise können Sie leicht enttarnt werden. Das Vermeiden einer Eingabe von persönlichen Daten bietet dagegen keinen Schutz, denn Ihr Smartphone und Notebook geben fast immer persönliche Daten von Ihnen preis. Beim Surfen mit dem Smartphone braucht nur eine von Ihnen genutzte App ohne Verschlüsselung im Internet nach neuen Daten zu suchen.

So ist Schutz möglich: Am besten schützen Sie sich, wenn Sie über eine VPN-Verbindung surfen, weil andere dann in öffentlichen WLANs nicht mithören können. Mit reduziertem Datenvolumen sind VPN-Verbindungen sogar kostenlos. Für Android steht beispielsweise die App My Steganos Online Shield zur Verfügung.

Virtuelles privates Netzwerk (VPN): Welchen Schutz bietet es?

Mythos: Wer über eine VPN-Verbindung mit dem PC oder Smartphone surft, ist anonym im Internet unterwegs.

Hintergrund: Mit einer VPN-Verbindung wird eine Netzwerkverbindung im Internet verschlüsselt. Über VPN lässt sich beispielsweise eine Verbindung von Ihrem PC zu einem VPN-Server herstellen. Sie surfen dann über den VPN-Server im Internet. Wegen ihrer Verschlüsselung gilt die Verbindung zwischen Ihrem PC und dem VPN-Server als abhörsicher.

Das sind die Fakten: Bei einer VPN-Verbindung ist der Schutz genau begrenzt. Zwischen Ihrem PC und dem VPN-Server Ihres VPN-Anbieters kann niemand die Inhalte einer Internetverbindung einsehen. Die von Ihnen besuchten Webseiten enthalten dennoch reichlich Informationen über Sie. Auch, wenn die von Ihrem Internet-Provider zugeteilte IP-Adresse nicht dazugehört, so ist doch die IP-Adresse Ihres VPN-Anbieters einsehbar. Webseitenbetreiber wiederum arbeiten zwecks Wiedererkennung mit Cookies und dem digitalen Fingerabdruck Ihres PCs. Auch, wenn der Betreiber Sie namentlich nicht kennt, sind Sie dadurch dennoch nicht wirklich anonym.

So ist Schutz möglich: Wer beim Surfen großen Wert auf Anonymität und Privatsphäre legt, kommt um einen gewissen Aufwand nicht herum. Eine Möglichkeit ist ein spezielles, auf Datenarmut getrimmtes Surfsystem wie etwa das Linux-Livesystem " Tails". Weniger aufwendig zu handhaben ist dagegen die Software Tor-Browser.

Durch anonymes Surfen Rückschlussmöglichkeiten blockieren

Mit einer Softwaretarnkappe im Internet zu surfen, bietet viele Vorteile. Sie können anstellen, was Sie möchten, Ihre Identität kann nicht ermittelt werden. Irrtum! Anonymisierungsdienste wie JAP können Ihre Onlineaktivitäten zwar verschleiern, was die Verfolgung von Surfgewohnheiten erschwert, im Falle des Falles können Sie dennoch enttarnt werden. Immer wenn Sie mit einem zwischengeschalteten Anonymisierer eine Website besuchen, wird im Serverprotokoll statt Ihrer IP-Adresse eine Tarnadresse gespeichert. Diese verschleiert den verwendeten Proxy-Dienst. Eine hohe Zahl an Servern und häufig wechselnde IP-Adressen verbessern zudem die Tarnung. Im Fall des Falles können Ermittlungsbehörden dennoch anhand der Aufzeichnungen des Providers und der Proxy-Protokolle Ihre Identität ermitteln und die von Ihnen besuchten Seiten herausfinden. Dies geschieht über einen aufwendigen Kreuzvergleich, der allerdings einer richterlichen Anordnung bedarf. In der Regel ist das nur bei schweren Vergehen möglich. Sie selbst haben keinerlei Einflussmöglichkeiten auf die Auswertung Ihrer Daten.

Windows-Anwender von Microsoft durchleuchtet

Das Gerücht, dass Windows heimlich Anwenderdaten, Seriennummern und persönliche Infos an Microsoft sendet, ist nicht ganz richtig. Seitdem es Windows XP mit der integrierten Zwangsaktivierung gibt, wollen Gerüchte über Microsoftspionage nicht verstummen. Den schlimmsten Gerüchten zufolge, werden persönliche Informationen wie Systemeinstellungen, Passwörter, Infos über installierte Software sowie Mails an Microsoft gesendet.

Auch, wenn eine Spionage technisch möglich ist, sind die Windows-Phone-Home-Aktivitäten weitgehend harmlos. Zumindest nach derzeitigem Kenntnisstand. Die Infos, die mit Microsoft-Servern ausgetauscht werden, sind - da sie im Klartext erfolgen - leicht nachvollziehbar. Mit Whireshark oder einem anderen Sniffer lässt sich nachprüfen, dass die Daten weitestgehend im Klartext übertragen werden und eine Verschlüsselung so gut wie nie stattfindet. Es kann dennoch durchaus sein, dass Microsoft im Rahmen seiner Online-Updates mit einem Windows-Update-Tool die Abfrage der Daten ausweitet.

Online-Attacken lassen sich durch Desktop Firewalls verhindern

Ein Firewall-Tool auf dem PC verhindert Angriffe aus dem Internet. Diese Annahme ist grundfalsch. Da immer mehr Programme auf das Internet zugreifen, steigt der Kontrollaufwand für Desktop-Firewalls. Ein Paradoxon tritt zutage: Auf der einen Seite verlangen Anwender nach immer mehr Sicherheit, auf der anderen Seite gestatten sie, dass immer mehr Firmen auf die Festplatten gelangen können. Diese Firmen bieten Update-Services an, werten private Daten aus oder installieren schlimmstenfalls sogar Hackersoftware. Diverse Verschmelzungen zwischen Internet und PC, Web 2.0 und Kopierschutzmanie haben dazu geführt. Wohl schon bald wird aus jedem PC ein Webserver.

Diese Entwicklung hat Desktop-Firewalls regelrecht überrollt. Für die Sicherheit sind Firewall-Programme enorm wichtig, indem sie externe Zugriffe auf PC oder Netzwerk blockieren. Zudem kontrollieren sie den ausgehenden Datenverkehr und versuchen eingeschmuggelte Schädlinge zu behindern. Die Masse der zwischen Internet und PCs ausgetauschten Daten lässt sich aber nicht mehr zuverlässig überwachen. Viele Meldungen, die von der Sicherheitssoftware stammen, tragen noch zusätzlich zur Verwirrung bei. Ob das Programm svchost.exe einen Zugriff aufs Internet gewährt werden darf, kann ein unbedarfter Anwender kaum entscheiden. Neue technische Konzepte sind gefragt, die solche Entscheidungen zuverlässig treffen können. Wohl kein Anwender möchte aus seinem PC eine Freibeuterzone machen.

Der Webbrowser Firefox ist rundum sicher

Dass der Internet Explorer gravierende Sicherheitslücken aufweist, weiß fast jeder. Dagegen hält sich allerdings das Gerücht, dass Firefox rundum sicher sei. Das ist allerdings falsch! Die verheerenden Sicherheitsmängel im Internet Explorer erzwingen seit Jahren die ständige Durchführung von Sicherheitspatches. Zwar sieht es in puncto Sicherheit bei Firefox deutlich besser aus, dennoch ist auch dieser Browser nicht gegen sämtliche Attacken immun. Beim Surfen mit Firefox ist man daher nicht gegen alle Onlinegefahren gefeit. Anders als der Internet Explorer ist Firefox mit dem Betriebssystem nicht eng verzahnt. Trotz seiner Eigenständigkeit kann der IE erheblichen Einfluss auf Windows nehmen. Hierfür sorgen Active-XControls, die den IE erweiternden Browser Helper Objects und das Zonenmodell. Dadurch können sich Fehler im Microsoft-Browser gravierend auf die Systemsicherheit auswirken.

Etliche Gefahren dürften allerdings auch im Firefox schlummern. Unter anderem in Form von Programmierfehlern. Eine Gefahrenquelle ergibt sich auch aus der Erweiterbarkeit von Firefox. Zwar kann jeder den Quellcode einsehen, Mängel werden aber meist erst nach Veröffentlichung einer neuen Version entdeckt. Ein Blick zurück zeigt, dass in der Vergangenheit wiederholt gravierende Sicherheitslecks in Firefox gefunden wurden. In der Bugliste tauchen daher zahlreiche Sicherheitslecks der Risikostufe "hoch" auf. Ein Grund, weshalb in der Vergangenheit nur wenige Nutzer ein Opfer von Attacken aus dem Internet wurden, lag daran, dass der Browser früher nur eine geringe Verbreitung besaß. Firefox wurde mit der Zeit aber immer populärer und damit auch ein interessantes Ziel für Hacker. Anwender profitieren davon, dass in der Open-Source-Gemeinde offen kommuniziert wird. So werden alle Fehler von den Entwicklern dokumentiert und auf der Mozilla-Website veröffentlicht. Sobald ein Sicherheitsleck entdeckt wird, erscheint in der Regel kurz darauf eine neue, fehlerbereinigte Version des Browsers. Zur Schließung einer Sicherheitslücke müssen Anwender nicht wie bei Microsoft bis zum monatlichen Patchday warten.

Sichere Einrichtung eines PCs mit Alternativpfaden

Viele glauben, wenn der Standardpfad bei der Software-Installation geändert wird, ist der PC vor Malware-Angriffen sicher. Auch das ist falsch! Sie sollten sowohl das Betriebssystem als auch sämtliche Anwendungen nach Möglichkeit nicht in die per Standard vorgegebenen Pfade installieren. Wählen Sie stattdessen benutzerdefinierte Speicherorte. Durch Veränderung relevanter Standardvoreinstellungen soll die Angriffsfläche für Schädlingsprogramme verringert werden. Diese vertrauen in vielen Fällen auf ein standardisiertes Betriebssystem. Fakt ist: Trojanern, Würmern und Viren wird durch diesen Trick erschwert sich einzunisten. Vollständig verhindern lässt es sich jedoch nicht. Professionelle Malware-Programmierer haben keine Schwierigkeit damit, den echten Pfad aus der Registry auszulesen. Einige ältere Software-Addons verlangen Standardpfade, weil die Zusätze ansonsten ihren Dienst verweigern.

Der Kampf entscheidet sich in wenigen Stunden

Antivirensoftware ist heutzutage ein Muss. Durch eine tägliche Aktualisierung des Virenscanners ist man vor Schädlingen stets geschützt. Auch das ist falsch! Fast jeder Virenscanner und jede Anti-Spyware kann via Internet auf den aktuellsten Stand gebracht werden. Wurde die Suchdatenbank eines Malware-Scanners hingegen mehrere Wochen nicht mehr aktualisiert, kann sie Schädlinge, die gerade erst in Umlauf gebracht wurden, natürlich nicht erkennen. Das Abwehrprogramm wird dadurch wirkungslos.

Wenn Sie umgehend mit dem neuesten Update Ihrer Antiviren-Software versorgt werden möchten, sobald es zur Verfügung steht, müssen Sie dafür sorgen, dass die Software dementsprechend konfiguriert ist. Am besten stellen Sie die Software so ein, dass diese immer dann mit der Updatesuche startet, wenn Sie online gehen. Die Reaktionszeiten auf neue Gefahren sind bei den Herstellern von Virenabwehrprogrammen recht unterschiedlich. Das ergaben frühere Tests: Kein Anbieter ist wirklich schnell genug. Die schnellsten Hersteller lieferten binnen vier Stunden die nötigen Signaturen, nachdem ein neuer Schädling bekannt wurde. Bei anderen Herstellern dauerte dieser Vorgang deutlich länger. Auch das kann zu Infektionen führen.