Serie Virenschutz: Firewalls

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Nachdem ich im letzten Artikel Antivirenprogramme gründlich auseinandergenommen habe, erwartet die „Personal Firewalls“ hier ein ähnliches Schicksal. Der Artikel bezieht sich auf typische Heimcomputer und Firewall-Software. In Firmennetzen machen (separate, richtige) Firewalls durchaus Sinn.

Firewalls dienen dazu, Netzwerkverbindungen zu verhindern und so verwundbare Dienste vor Angriffen zu schützen oder unerlaubte Datenübertragung durch Programme zu blockieren. Dabei gibt es – vereinfacht gesagt – zwei Arten von Verbindungen: Eingehende und Ausgehende. Das kann man sich wie beim Telefon vorstellen – der Computer kann jemanden anrufen oder angerufen werden, in jedem Fall kann man nach einem Verbindungsaufbau in beide Richtungen sprechen.

Computerprogramme nehmen oft Verbindungen entgegen, z. B. um darüber Dateien anzubieten. Wenn diese Programme nun Sicherheitslücken aufweisen, können Viren von Außen eine Verbindung zum Programm aufnehmen, die Lücke ausnutzen und so in den Rechner kommen. „Blaster“ und „Sasser“ haben sich auf diese Art verbreitet. Deswegen gilt: Je weniger Programme von Außen erreichbar sind, desto besser. Am sichersten ist es, solche Programme gar nicht erst zu starten – bei einigen Systemdiensten ist das aber nicht so einfach.

Für Systemdienste kann man als Fortgeschrittener oft aber die „Bindung“ an ein Netzwerkgerät entfernen: In der Liste der Netzwerkverbundungen rechtsklickt man auf das Gerät, wählt Eigenschaften – und wirft unnötige Häkchen raus. Die Datei- und Druckerfreigabe zum Beispiel braucht man nur, wenn man Dateien des eigenen Rechners für andere freigeben will. Zu guter Letzt kann man aber eingehende Verbindungen auch verhindern, indem man sie per Firewall sperrt. Da man meist unter Windows Probleme damit hat, alle Programme davon abzuhalten, eingehende Verbindungen anzunehmen, kann die Firewall-Lösung hier hilfreich sein.

Auch ältere Trojaner haben mit eingehenden Verbindungen gearbeitet: Sie warten auf eine eingehende Verbindung, und wenn jemand sich zum Trojaner verbindet, kann er den Rechner fernsteuern und Daten kopieren. Davor schützt eine Firewall auch, wenn der Trojaner sie nicht vorher abschaltet. Allerdings nutzen moderne Schadprogramme geschicktere Wege statt eingehender Verbindungen.

Dazu sollte man zunächst wissen: Die meisten Nutzer, welche daheim das Internet nutzen, benutzen einen Router. Nutzt man einen Rechner ausschließlich an einem Router, muss man sich um eingehende Verbindungen eher weniger Sorgen machen – die werden von den Routern normalerweise blockiert, solange der Nutzer sie nicht ausdrücklich freigibt oder der Router UPnP eingeschaltet hat und der eigene Computer die Verbindung aktiv anfordert.

Windows (ab XP SP2) hat bereits eine gute eingebaute Firewallsoftware. Diese blinkt nicht, stört nicht, verwirrt nicht mit seltsamen Meldungen – und wird gerade deswegen oft als schlecht abgetan. Im Gegensatz zu vielen anderen Produkten schützt sie aber schon beim Hochfahren, ist im Betriebssystem verankert und macht keine Probleme. Sie blockiert nur eingehende Verbindungen. Ausnahmen können leicht definiert werden, beim ersten Start von Netzwerkprogrammen wird man gefragt, ob man eingehende Verbindungen zulassen möchte. Einige Ausnahmen sind vordefiniert – das kann man ausschalten: Systemsteuerung – Windows-Firewall, Registerkarte „Ausnahmen“.

Ausgehende Verbindungen blockiert die Windows-Firewall nicht. Diese Verbindungen muss man nur blockieren, wenn man bereits laufende Programme daran hindern möchte, Verbindungen aufzubauen. Das ist in der Regel nicht nötig, und selbst wenn, weiß man als Normalnutzer nicht, was man zulassen und was man blockieren soll. Normalnutzer blockieren daher typischer entweder alles, oder geben alles frei. In einem Fall wundern sie sich dann, dass einige Programme nicht richtig laufen (und Updates nicht funktionieren!), im anderen Fall bietet die Firewall keinen weiteren Schutz. Darüber hinaus können geschickte Trojaner legitime, in der Firewall freigegebene Programme missbrauchen, um ins Internet zu kommunizieren.

Ein Virus oder Trojaner, der sich auf dem Rechner einnistet, kann technisch gesehen in den meisten Fällen die Firewall einfach ausschalten – sofern er so programmiert wurde. Da sich nicht alle Malwareentwickler diese Mühe machen, kann eine Firewall tatsächlich verhindern, dass ein Trojaner ins Netz kommuniziert. Allerdings sollten Schutzmaßnahmen zum Ziel haben, zu verhindern, dass der Trojaner überhaupt zum Zug kommt. Wenn man sich was eingefangen hat, ist es meist eh zu spät.

Für den typischen Normalnutzer macht das Blockieren ausgehender Verbindungen keinen Sinn. Es kann aber zu ziemlichen Problemen führen, wenn ein Programm plötzlich nicht kommunizieren kann.

Ein Beispiel für eine Firewall-Software ist ZoneAlarm. Diese wird oft kritisiert, da sie viele Probleme verursachen soll. Ich hatte vor Jahren die kostenlose Version einige Zeit im Einsatz und war erfreut darüber, wie einfach und gut sich das Programm konfigurieren lässt, und hatte auch keine Probleme – weil ich wusste, was ich wie einstellen muss und will. Ich habe aber auch ein Netzwerk mit fast 200 Nutzern betreut, die dort ihre Privatrechner hatten. Wenn jemand nicht auf den Server kam, war die erste Frage „Ist Zonealarm installiert?“, meist gefolgt von „Ja“ und „Dann schmeiß es runter und mach die Windows-Firewall an“, womit das Problem behoben war. Ein normaler Nutzer kann es nicht richtig konfigurieren, und dann macht es Probleme. (ZoneAlarm soll wohl noch Programmierfehler enthalten, die auch bei richtiger Konfiguration absurde Probleme machen können, viele Probleme mit ZoneAlarm sind aber durch die Nutzer verursacht.)

Solche Konfigurationsfehler macht ein normaler Anwender auch mit anderer Software. Die bereits bei den Antivirenprogrammen erwähnten „gelben Schachteln“ von Norton/Symantec können auch Firewallsoftware enthalten (z. B. als „Internet Security“) und machen auch damit liebend gerne Schwierigkeiten – ohne nennenswerten Mehrwert. Die zu Internetanschlüssen oft für einen Monatsbeitrag angebotenen „Sicherheitspakete“ sind meist Norton/Symantec-Software. Selbst wenn so ein Paket kostenlos/inklusive sein sollte, würde ich einen Bogen darum machen.

Die allgemeinen Nachteile, die ich bei der Antivirensoftware schon genannt hatte (neue Verwundbarkeiten, bremst System, frisst Speicher) kommen zu den durch fehlkonfigurierte Firewalls oft verursachten Fehlern noch dazu.

In der Bemühung, einen (angeblichen) Mehrwert zu bieten, haken sich immer mehr Programme zum Beispiel in den Browser ein, und markieren Suchergebnisse nach sicher und unsicher. Nicht nur dass diese Erkennung nicht sonderlich zuverlässig ist, sie bremst auch den Browser und kann lustige Probleme verursachen, die man lange sucht.

Um klarzumachen, wie wichtig die Firewalls sind, nerven sie oft mit Anzeigen, wie viele Angriffe gerade abgewehrt werden, um dem Kunden klarzumachen, dass er die Firewall (und ihre kostenpflichtigen Aktualisierungen) weiter braucht. Diese Anzeigen sind meist völliger Unsinn – es werden Dinge angezeigt, die keine ernsthafte Gefahr darstellen.

Wer die eingebauten Kindersicherungen toll findet, die kleine Kinder von bösen Pornoseiten fernhalten sollten, sollte die Idee schnell vergessen. Das funktioniert nicht. Zu viel Schund bleibt weiter erreichbar, und viel zu viele legitime Seiten werden gesperrt. Mal abgesehen davon dass der Nachwuchs sich oft besser mit dem System auskennt und gute Chancen hat, die Sperre zu umgehen oder auszuschalten. Eine Software kann keine Eltern ersetzen, die das Kind im Internet begleiten.

Fazit: Die Windows-Firewall hat alles, was man in der Regel benötigt. Sie kostet nichts, nervt nicht und macht einfach ihren Job. Es ist nicht sinnvoll, viel Geld für irgendwelche kommerziellen „Internet Security“-Pakete auszugeben – und mit einem langsamen Rechner und ständigen Warnmeldungen dafür belohnt zu werden. Wer mir nicht glaubt, schaue z. B. in dieser c’t-FAQ unter „Firewall“. (Die Einschätzung zu sicheren Browsern teile ich nur teilweise)

Serie Virenschutz: Nutzlose Virenscanner

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Nachdem ich nun Ratschläge gegeben habe, wie man sich tatsächlich schützen kann, möchte ich zum Schluss auf das Thema zurückkommen, was mich zu dieser Serie bewegt hat: Die Nutzlosigkeit und sogar Gefährlichkeit von Virenscannern.

Dieser Artikel gibt den Stand im Jahr 2010 wieder. Die meisten Punkte (insbesondere, dass Updates wichtiger als Virenscanner sind) gelten weiterhin, allerdings würde ich heutzutage (2014) einen Virenscanner als sinnvolle Ergänzung bezeichnen – insbesondere auf PCs, wo Laien selbst Software installieren können. Neben dem Schutz vor älterer Massenmalware und -adware bieten insbesondere reputationsbasierte Ansätze einen gewissen Schutz. Seltene Dateien sind verdächtig – und somit wird es für Malware-Autoren schwerer, jedem Nutzer eine zufällig generierte Variante unterzuschieben, um signaturbasierten Ansätzen auszuweichen.

Nachdem ich nun Ratschläge gegeben habe, wie man sich tatsächlich schützen kann, möchte ich zum Schluss auf das Thema zurückkommen, was mich zu dieser Serie bewegt hat: Die Nutzlosigkeit und sogar Gefährlichkeit von Virenscannern.

Virenscanner geben ein falsches Sicherheitsgefühl – verlässt man sich drauf, ist man sogar mehr gefährdet als komplett ohne Virenscanner: Es werden bei weitem nicht alle Viren gefunden, gerade neue Viren oder Exploits können lange genug undetektiert bleiben, um zahlreiche Rechner zu infizieren. Aber auch wenn man diesen Fehler nicht macht, haben Virenscanner gravierende Nachteile:

Ständige Falschalarme – Immer wieder melden Virenscanner eigentlich harmlose Programme als Virus, gelegentlich sogar Systemdateien von Windows. Löscht man diese, fährt das System nicht mehr hoch – nur durch den Virenscanner hat man sein System zerstört. Sowas passiert bei fast allen Herstellern früher oder später. Beispiele: 1 2 3 4 5) Falschalarme sind inzwischen sehr häufig, meist aber nicht in kritischen Systemdateien. Diese Falschalarme verwirren oft sogar Gruppen von Profis – Mozilla hat ein fälschlicherweise als infiziert gemeldetes Add-On von der Seite geworfen (Stellungnahme). Und es ist nicht etwa so, dass nur ein Virenscanner einen jeweiligen Falschalarm hat – die Hersteller schreiben alle voneinander ab, sodass ein Falschalarm sich schnell verbreitet. Ein schönes Beispiel dafür ist dieser Heise-Artikel.

In die Mainstream-Nachrichten schaffen es die wenigsten Fälle, selbst IT-Medien wie heise online schreiben nur von Fällen, die besonders große Schäden angerichtet haben. Auf einem von mir betreuten Rechner stürzt seit einer Säuberungsaktion von AntiVir der vorinstallierte Bildschirmschoner wegen fehlender Dateien ab. Auf meinem mit vielen Tools ausgestatteten Rechner treten irgendwelche Fehlalarme rund einmal pro Monat auf – und zwar nachdem ich die Problemkategorien ausgeschlossen habe, die oft missbrauchte, aber für sich unschädliche Tools enthalten. Meist werden diese Fehler nach einer Meldung an den Hersteller nach wenigen Tagen behoben, wie dieses Beispiel zeigt: Ein seit vielen Jahren unveränderter Updater wird plötzlich erkannt. Ich schicke ihn bei jottis Multiscanner ein, und jeden Tag kommen mehr Antivirenprogramme hinzu, die ihn erkennen. Auf eine erste Nachfrage erklärt Avira, der Hersteller von AntiVir, dass es tatsächlich ein Virus sei, auf nochmalige ausdrückliche Nachfrage wird die Datei erneut analysiert: Harmlos – was die anderen Antivirenhersteller aber nicht stört, auch über eine Woche später nicht. Entweder es war ein Virus, wurde also rund 5 Jahre lang nicht erkannt, dann für einen Virus gehalten und fälschlicherweise dann wieder für harmlos, oder (und davon gehe ich aus) ein harmloses Stück Software wird nach 5 Jahren plötzlich fälschlicherweise von vielen Antivirenprogrammen für einen Virus gehalten.

An diesem Beispiel sieht man, dass die Warnungen der Antivirenprogramme weitgehend wertlos und oft sogar gefährlich sind. (Update: siehe auch diesen Artikel, der zeigt, wie lächerlich die Erkennungsmuster sind.) Ernst nehmen kann man die Warnungen jedenfalls nicht mehr – und somit sind die Scanner auf ansonsten halbwegs gesicherten Systemen mit vernünftigen Benutzern nutzlos. Auf ansonsten schlecht gesicherten Systemen bzw. auf Systemen mit unvorsichtigen Nutzern können solche Scanner einige Schädlinge abfangen – einen wirklichen Schutz können sie in einer solchen Situation aber auch nicht bieten.

Aber auch von den Programmen selbst kann eine Gefahr ausgehen – schließlich schaut sich ein Virenscanner jede Datei an, und wenn diese Funktionen fehlerhaft sind, kann das eine Angriffsfläche für die bereits erwähnte Exploit-Malware geben. So gut wie jedes Antivirenprodukt hat oder hatte solche Lücken.

Selbst wenn Antivirenprogramme keine solche Fehlfunktionen zeigen, verlangsamen sie das System und fressen wertvollen Speicher.

Wenn man die Angriffswege wie beschrieben abgesichert hat und aufpasst, keine Datei-Malware herunterzuladen, braucht man so ein Antivirenprogramm nicht unbedingt – aktuelle Programme sind auf jeden Fall wichtiger als ein Virenscanner! Ich habe bisher vor allem aus einem Grund ein Antivirenprogramm: Die AGB der Banken schreiben vor, dass man die Sicherheitshinweise auf deren Website zu beachten hat – und diese fordern wiederum die Installation eines Antivirenprogramms. Telefonisch sieht das zwar die Hotline der Postbank anders, aber ich habe keine Lust, in einem Schadensfall mit der Bank vor Gericht diskutieren zu müssen, warum ich kein Antivirenprogramm auf dem Rechner hatte.

Es gibt allerdings keinen Grund, den Herstellern auch noch Geld in den Rachen zu werfen. Das auch von mir verwendet kostenlose AntiVir von Avira reicht völlig, kostenpflichtige Produkte sind auch nicht wirklich besser. Nur die in der kostenlosen Version angezeigte Werbung sollte man nicht zu ernst nehmen. Der Verkauf von Antivirensoftware (und Sicherheitssoftware im Allgemeinen) ist heutzutage vor allem ein Geschäft mit der Angst der Ahnungslosen.

Die meist aggresiv vertriebenen „gelben Schachteln“ (Symantec/Norton), die ich leider oftmals installiert vorfinde, wenn jemand mich um Hilfe bei seinem Computerproblem bittet, sind grauenhaft. Sie verursachen Probleme ohne Ende, können das System erheblich verlangsamen und sind oft schwer zu deinstallieren. Abgesehen davon berichten Kunden von ziemlich unseriösen Methoden – da wird plötzlich Geld für ein Abo abgebucht, was man nicht bestellt hat – einen Betroffenen kenne ich persönlich, weitere Fälle sind im Link genannt. Die Werbung erweckt den Eindruck, man habe die Wahl, ein Symantec-Produkt zu kaufen, oder man würde seine Familienfotos, sein Geld und alles was einem lieb ist an Viren und Hacker verlieren. Als ich die Werbung im Zug sah, wurde mir schlecht – es ist ein ziemlich offensichtlicher Versuch, ahnungslose PC-Neulinge mit Emotionen zum Kauf zu bewegen. Eine schöne Parodie bringt es auf den Punkt. Das „Finger weg“ gilt übrigens auch für die meisten „Sicherheitspakete“, die Internetprovider mitverkaufen. Meistens ist es Symantec/Norton. Nicht ohne Grund wird die Firma im Netz oft als „Symandreck“ bezeichnet, und das Sprichwort „Nimm Software aus gelben Schachteln nur, wenn Du auch gerne gelben Schnee isst“ enthält einen wahren Kern.

Zu Firewallsoftware (und auch zu den sogenannten „Internet-Sicherheitspaketen) allgemein gibt es noch einen eigenen Artikel – da sieht es nämlich nicht besser als bei den Antivirenprogrammen aus.

Um das Problem der Nichterkennung nochmal zu verdeutlichen:
Für eine Sicherheitsvorführung habe ich mal eine Art Virus weitestgehend aus einem weit verbreiteten und öffentlich verfügbaren Baukasten (metasploit) zusammengeklickt – also etwas, was eigentlich die Virenscanner (er)kennen könnten. Das habe ich über virusscan.jotti.org mit 20 Virenscannern gescannt. Diese Seite leitet die eingesandten Dateien auch an Antivirenhersteller weiter, damit diese die Erkennung einbauen können, falls es sich um Viren handelt. Ein einziger Scanner hat etwas gemeldet. Heute, Jahre später, habe ich erneut gescannt. Das traurige Ergebnis: ein paar unbekannte Virenscanner melden einen vagen Verdacht. Das die bekannteren das nicht melden, dürfte eher daran liegen, dass die Unbekannten auf alles mögliche anspringen und dadurch auch irre viele Fehlalarme riskieren – siehe dazu oben. Die nur 1 KB große Datei erlaubt es übrigens, den Rechner auf dem sie gestartet wird mit den Rechten des startenden Benutzers komplett unsichtbar beliebig fernzusteuern. Sie installiert sich nicht und hinterlässt keine Spuren, wenn sie – wie bei der Vorführung vorgesehen – beim Öffnen eines harmlos aussehenden USB-Sticks unsichtbar automatisch gestartet wird. Und das war übrigens die unverschleierte, leicht erkennbare Version. Eine Fassung mit nahe am Standard liegenden Verschleierungsoptionen wird überhaupt nicht erkannt.

Serie Virenschutz: Datei-Malware

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Wenn man die bisherigen Artikel dieser Serie gut verfolgt hat, ist man schon recht gut gegen Exploit-Malware geschützt. Was nun mit der Datei-Malware? Diese behandle ich erst jetzt, weil man sich dagegen relativ gut schützen kann – ganz ohne spezielle Software. Dafür sind allerdings Grundkenntnisse erforderlich. Wer sich wirklich schlecht mit Computern auskennt, hat leider kaum eine Chance, weil immer neue Fallen erfunden werden.

Datei-Malware sind Viren und andere Schädlinge, die einem als Datei geliefert werden und darauf hoffen, dass der Anwender sie startet. Deswegen sind sie für erfahrene Nutzer weitgehend ungefährlich, Anfänger fallen immer wieder auf diverse Tricks rein.

Bei Datei-Malware kann ein Virenscanner übrigens tatsächlich manchmal helfen, weil die Viren oft älter sind und so mehr Virenscanner sie kennen. Wenn aber der Virenscanner einen retten muss, hat man schon einen Fehler gemacht. Verlässt man sich hingegen auf den Virenscanner und hält alles, wovor er nicht warnt, für harmlos, ist man verlassen – und zwar von allen guten Geistern. Denn Virenscanner übersehen immer noch ziemlich viel, und zwar alle. Warum Virenscanner nichts taugen, erklärt ein eigener Artikel. Besser ist es also, zu lernen, worauf man achten muss.

Wie bereits erwähnt, sind Updates extrem wichtig. Deswegen bieten diverse Seiten jetzt gefälschte Updates an, die in Wirklichkeit Viren enthalten. Wichtig ist daher, Updates nur aus vertrauenswürdigen Quellen zu installieren. Weil damit viele Menschen große Schwierigkeiten haben und das Updaten nicht nur der wichtigste, sondern auch der aufwändigste Teil der Sicherheit ist, widmet sich diesem Problem der Artikel „Updaten – aber sicher!„.

Das man seltsame Anhänge nicht öffnet, ist inzwischen bekannt. Während Profis über die hundertste Mail mit einer angeblich überhöhten Rechnung im Anhang („Rechnung.pdf.exe“) nur müde lächeln können, fallen trotz aller Warnungen ständig Leute darauf hinein. Die häufigste Fehlannahme: Das Antivierenprogram werde einen schon schützen. Dass man vermeintliche „Sicherheitsupdates“, die man per E-Mail geschickt bekommt (egal ob als Anhang oder Link) nicht installieren sollte, versteht sich von selbst.

Absenderadressen bei E-Mails können beliebig gefälscht sein. Wenn einem ein Freund also schreibt, dass man auf der Party total besoffen war und sich unbedingt das Foto im Anhang anschauen soll, muss die Mail noch lange nicht echt und von ihm sein. Ebensowenig, wenn „Microsoft Security“ einem ein neues Update anbietet.

Genau wie ein Anhang sind auch Links in Mails zu behandeln. Von einem Fremden nimmt man keine Süßigkeiten an. Wenn der Fremde einem jetzt stattdessen sagt, man solle um die Ecke gehen und dort die (von ihm abgelegte) Schachtel nehmen, sollte man das also auch nicht tun – und genausowenig sollte man irgendwelchen Links folgen und dort dann Sachen herunterladen.

Inzwischen signieren übrigens immer mehr Hersteller ihre Software. Beim Ausführen (nach dem Herunterladen) zeigt in der ersten Warnung Windows dann an, von wem die Software ist. Wenn man Firefox von Mozilla installieren möchte, und als Ersteller nicht Mozilla (genauer: derzeit die „Mozilla Corporation„) drinsteht, hat man vermutlich nicht, was man wollte. (Wenn die Datei „Hotbar installer.exe“ heißt, erst recht nicht.) Und wenn die Website, von der man das Teil herunterlädt, offensichtlich nicht die Herstellerwebsite ist oder ein so gebrochenes Deutsch spricht, dass klar ist dass es zweimal durch einen automatischen Übersetzer gegangen ist, möchte man von da auch nichts herunterladen. Soviel gesunder Menschenverstand sollte auch im Internet selbstverständlich sein. Ist er aber leider nicht.

Neue Programme sollte man aus vertrauenswürdigen Quellen besorgen und nicht auf der erstbesten Seite herunterladen. Wenn man bei Google nach „Firefox“ sucht, bekommt man manchmal Werbung angezeigt, die einem einen Firefox-Download anbietet. Für diese Werbung zahlen die Leute richtig Geld. Das bekommen sie dann von ihrem Auftraggeber wieder, wenn man deren Version von Firefox herunterlädt – da ist nämlich Werbe-Malware dabei. Lustigerweise installiert sich diese erst nach einer recht deutlichen Warnung, und trotzdem kenne ich einige, die sich das Teil eingefangen haben.

Vermeintlich nötige „Codecs“, die zwielichtige Video- und Pornoseiten einem gerne anbieten sollte man so auch auf keinen Fall installieren. Meistens ist es ein Virus.

Noch beliebter sind falsche Virenscanner/-warnungen, die einem vormachen, man hätte zahlreiche Viren und müsste jetzt ein tolles Produkt kaufen, um sie loszuwerden. Leider geht die Werbung halbwegs seriöser Antivirenhersteller inzwischen oft in eine ähnliche Panikmach-Richtung. Merke: Wenn etwas versucht Panik zu machen, um gekauft zu werden, sollte man es nicht kaufen. Allgemein macht es wenig Sinn, für Antivirensoftware und Firewalls bzw. „Internetsicherheitspakete“ Geld auszugeben, siehe die Artikel zu Virenscannern und Firewalls.

Serie Virenschutz: Updaten – aber sicher!

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Wie in den vergangenen Teilen dieser Serie erwähnt, sind Updates das A und O der Sicherheit. Das wissen auch die Virenschreiber – sie bieten gerne gefälschte Updates an, die in wirklichkeit Viren enthalten. Deswegen widmet sich dieser Artikel dem Thema, wie man sicher und ohne allzu viel Aufwand die wichtigsten Programme aktuell hält. Ein paar Tipps zu Plugins und ihren Updates finden sich auch schon im letzten Artikel namens „Exploit-Malware – Plugins schützen!“

Wenn man Microsoft Office installiert hat, sollte man unbedingt Microsoft Update aktivieren. Dazu geht man auf https://www.update.microsoft.com (nicht vertippen, sonst landet man bei einer Virenschleuder) und wählt die Schaltfläche „Microsoft Update“. Sollte man kein MS Office nutzen, sind die normalen Windows-Updates natürlich trotzdem nötig. Dafür kann man das gewöhnliche Windows-Update nutzen. Ist Microsoft Update einmal eingerichtet, wird Office immer zusammen mit dem Windows-Update aktualisiert.

Das Windows-Update erfolgt am Besten automatisch. Sofern das noch nicht standardmäßig so eingestellt ist, bekommt man auf der Update-Website https://www.update.microsoft.com rechts das Angebot, das zu aktivieren, was man auch tun sollte.

Aus irgendwelche anderen Quellen stammende Windowsupdates sollte man lieber meiden. Im Zweifel kann man immer auf der oben genannten Updateseite nachschauen, ob es was neues gibt.

Generell sollte man Updates nur aus sicheren Quellen installieren – das ist entweder die echte, offizielle Herstellerseite, oder ein Updateprogramm auf dem eigenen Rechner.

Wie unterschiedet man aber die Meldung eines Updateprogramms von einer gefälschten Meldung, die eine Website anzeigt? Nun, wenn sich das Fenster nicht außerhalb des Websitebereichs verschieben lässt, ist es wohl eine Fälschung. Wenn sich das Fenster „komisch“ verhält, z. B. beim Klick auf Schaltflächen gepunktete Linien um die Schaltflächen erscheinen – Fälschung. Wenn ein Popup erkennbar und tatsächlich aus dem eigenen System kommt, d.h. insbesondere Teile des Popups Bedienelemente außerhalb des Websitebereichs verdecken, ist es meist echt. Im Zweifel: Die aktuelle Website schließen, die Popups schließen, die Herstellerseite ansurfen und dort das Update selbst herunterladen.

Adobe Reader aktualisiert man am Besten, indem man das Programm startet und im Menü „Hilfe“ auf „Nach Updates suchen“ klickt. Firefox: Genauso. Ebenso viele andere Programme. Für Flash lade ich meist einfach den Updater von der offiziellen Webseite herunter. Für DivX ebenfalls – gerade da gibt es auf gewissen halblegalen Kinofilm-Streaming-Seiten sehr überzeugende gefälschte Updatedialoge. So überzeugend, dass selbst ich lieber auch den zu 99% echten Dialog schließe und das Update manuell von der Herstellerseite lade.

Secunia bietet mit dem Secunia PSI eine Software an, die schaut, was auf dem Rechner installiert ist und welche Updates benötigt werden. Das bietet zumindest einen guten Überblick, es ist aber nicht sichergestellt, dass die Liste fehlerfrei oder vollständig ist.

Serie Virenschutz: Exploit-Malware – Plugins schützen!

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Im letzten Teil habe ich erklärt, wie Exploit-Malware funktioniert und was man wie und warum schützen muss. Hier gehe ich im Detail darauf ein, welche Maßnahmen sinnvoll sind, um die besonders fehleranfälligen und gefährdeten Browser-Plugins zu schützen.

Die zwei wichtigsten Plugins, die in der Vergangenheit für die meisten Sicherheitslücken verantwortlich sind, sind Adobe Flash und der Adobe Reader. Ersteres wird hauptsächlich für Youtube-Videos, Flashgames, schlecht programmierte Webseiten und nervige Werbung eingesetzt. Ohne Flash sind viele Seiten leider nicht vollständig nutzbar, ein Verzicht kommt also kaum in Frage. Der Adobe Reader dient zur Anzeige von PDF-Dateien. Auch darauf kann man kaum verzichten. Diese beiden Programme müssen aber auch jeden Fall topaktuell gehalten werden! Wie man das am Besten macht, erklärt der separate Artikel „Updaten – aber sicher“ aus dieser Serie.

Leider gibt es gerade bei diesen beiden Programmen immer wieder Lücken, die erst geschlossen werden, wenn sie überall missbraucht werden. Daher sollte man die Angriffsfläche reduzieren, indem man möglichst wenig Zugriff auf diese Plugins erlaubt.

Mithilfe eines Firefox-Addons namens NoScript kann man bei richtiger Einstellung (auch ohne JavaScript zu blockieren!) verhindern, dass unbekannte Seiten ohne ausdrückliche Freigabe PDF-Dateien oder Flash-Animationen anzeigen (Registerkarte „Eingebettete Objekte“ in den Einstellungen). Das hat den Vorteil, dass wenigstens unsichtbar eingebundene Malware außer Gefecht gesetzt wird. Außerdem verschwindet die blinkende und den Computer bremsende Werbung auf vielen Seiten. Das bereits im letzten Artikel genannte „AdBlock Plus“ bietet zusätzlichen Schutz.

Im Adobe Reader kann man darüberhinaus JavaScript deaktivieren. Während man viele Webseiten nicht mehr vollständig nutzen kann, wenn man JavaScript im Browser deaktiviert, bleibt eine Deaktivierung von JavaScript im Reader ohne große Folgen. Viele Sicherheitslücken befinden sich aber gerade im JavaScript-Teil, und viele Exploits nutzen JavaScript, um zu funktionieren, selbst wenn es theoretisch auch ohne ginge. JavaScript zu deaktivieren ist also auf jeden Fall eine gute Wahl. Dies kann man tun, indem man Adobe Reader startet, im Menü „Bearbeiten“ den Punkt „Voreinstellungen“ wählt, dort die Kategorie „JavaScript“ auswählt und oben das Häkchen bei „Acrobat JavaScript aktivieren“ entfernt. Nach Update sollte man prüfen, ob das Häkchen nicht zurückgekommen ist. Sollte ein Dokument ausnahmsweise doch JavaScript brauchen (wie z. B. bestimmte interaktive Formulare), bekommt man eine gelbe Warnleiste und kann für dieses eine Dokument JavaScript freigeben, wenn es aus einer vertrauenswürdigen Quelle stammt.

Media-Player-Software wie Quicktime, RealPlayer, VLC und DivX installiert oft ebenfalls Plugins. Diese werden gemeinsam mit der Software aktualisiert. Auch die müssen immer aktuell sein! Wenn man nicht weiß, wie man ein bestimmtes Programm aktualisieren kann – meist findet sich im „Hilfe“-Menü des Hauptfensters eine Updatefunktion, was auch der sicherste Weg für Updates sein dürfte.

Java ist inzwischen im Web kaum noch verbreitet, außer für exotische Spiele und Physik-Vorführapplets – dennoch ist es auf vielen Rechnern noch installiert. Die einfachste Lösung ist hier, Java im Browser einfach abzustellen, wenn man es nicht braucht: Im Menü „Extras“ auf „Add-Ons“, oben „Plugins“ wählen, alles wo „Java“ steht deaktivieren. Ansonsten muss man auch Java aktuell halten, am Besten über Systemsteuerung – Java – Aktualisierungen.

Wichtig bei den Plugin-Updates ist es, nicht auf gefälschte Updates hereinzufallen. Dieses Thema behandelt ein eigener Artikel: „Updaten – aber sicher!„

Serie Virenschutz: Echter Schutz vor Exploit-Malware – kostenlos!

Dieser Artikel ist Teil einer Serie über Virenschutz. Hier gehts zum Anfang der Serie mit einer Einleitung und einer Liste der enthaltenen Artikel.

Im Einleitungsartikel hatte ich bereits erklärt, wie ich Schadsoftware (Malware) unterteile. In diesem Teil möchte ich mich der Exploit-Malware widmen, also Viren und Schadsoftware, welche über das Ausnutzen von Sicherheitslücken auf das System kommt, und erklären, wie man sich schützen kann.

Das Wichtigste ist dabei: Ohne Sicherheitslücke kann die Exploit-Malware einem nichts anhaben. Deswegen ist es wichtig, die Angriffsfläche zu reduzieren und Updates zügig zu installieren, siehe Artikel „Updaten – aber sicher!„. Angriffsfläche reduzieren heißt, die Anzahl der von außen erreichbaren Programme zu reduzieren, wo möglicherweise Sicherheitslücken lauern könnten. Die „besten“ Einfalltore sind Browser und E-Mail-Programm. Neben dem Browser selbst (d.h. z. B. Firefox) muss man auch im Browser eingebettete Programme, sogenannte Plugins, aktuell halten – denn auf diese können Webseiten zugreifen und ihnen manipulierte Daten liefern. Firefox aktualisiert sich zum Glück automatisch. Den Internet Explorer sollte man nicht nutzen, da die zahlreichen vorhandenen Sicherheitslücken oft lange offen gelassen werden.

Nachtrag: Eine c’t-FAQ empfiehlt, wenig verbreitete Browser zu nutzen, da diese selten angegriffen werden. An der Behauptung ist sicherlich etwas dran, allerdings erkauft man sich das oft durch geringere Funktionsvielfalt und muss teilweise auch auf sicherheitsrelevante Hilfsmittel wie AdBlock (siehe unten) verzichten. Neben dem Interesse von Kriminellen, Angriffe zu entwickeln, spielt es auch eine Rolle, wie leicht das zu machen ist und wie schnell Lücken geschlossen werden – und in der Hinsicht halte ich Firefox für relativ sicher. Internet Explorer ist nicht nur ein beliebtes Angriffsziel, sondern auch voller Sicherheitslücken, die oft erst spät geschlossen werden.

Den Plugins wende ich mich in einem eigenen Artikel „Exploit-Malware: Plugins schützen!“ ausführlich zu, und erkläre da, welche einfachen und kostenlosen Schutzmaßnahmen man treffen kann und sollte, um das Risiko zu minimieren.

Exploit-Malware kann man auf verschiedene Arten bekommen – man besucht unseriöse Seiten, entweder weil man Links in Spammails anklickt oder Pornos oder Raubkopien/Cracks auf den falschen Seiten sucht, man besucht eine seriöse Seite, die gecrackt wurde, oder man besucht eine ganz normale, seriöse Seite, wo verseuchte Werbung drin ist. Das passiert immer wieder und betrifft oft richtig große Seiten. Dagegen (und gegen das Ausspähen durch Werbestatistikserver und gegen nerviges Geblinke) schützt es, Werbung zu blockieren. Dazu bietet sich für Firefox das Plugin „AdBlock Plus“ an, welches ich derzeit mit den Listen Dr. Evil, EasyList (USA), Rick752’s EasyPrivacy und Ares‘ ABP Liste betreibe. So sehe ich kaum noch Werbung, kann schneller surfen und bin besser geschützt. Kosten tut mich das keinen Cent, ich muss nichts manuell Updaten und Fehler in Form von „verschwundenen“ (fälschlich geblockten) Teilen von Webseiten passieren inzwischen so gut wie nie.

Ebenfalls gefährdet sind Office-Anwendungen und das Betriebssystem selbst. Während letzteres meist von ein oder mehreren Firewalls geschützt wird, öffnet man in Office-Anwendungen häufig Dokumente aus unbekannten Quellen. Virenscanner erkennen zwar teilweise auch verseuchte Dokumente, sind dabei in der Regel aber unzuverlässig, selbst bei älteren Angriffen. Neuere Angriffe werden meist nicht erkannt. Deswegen ist es wichtig, auch diese Programme aktuell zu halten. Unter Windows gibt es dafür neben dem Windows Update, welches nur das Betriebssystem aktualisiert auch noch Microsoft Update – dieses aktualisiert auch Microsoft Office. Wie genau man diese Funktionen nutzt, steht im Artikel „Updaten – aber sicher!„.

Noch sicherer fährt man natürlich damit, statt Microsoft Office eine freie, kostenlose Alternative wie OpenOffice einzusetzen, aber auch die sollte man regelmäßig über die eingebaute Updatefuktion aktuell halten.

Generell muss man alle Programme aktuell halten, die Kontakt mit „fremden“ Daten haben. Neben den genannten sind noch am häufigsten diverse Mediaplayer betroffen – Quicktime, RealPlayer, VLC und wie sie alle heißen müssen – sofern installiert – ständig aktualisiert oder einfach entfernt werden. Auch hier hilft der Artikel „Updaten – aber sicher!„.

Serie Virenschutz: Einleitung, Angriffswege

Virenscanner sind weitgehend unnütz. Dazu wollte ich gerade einen eigenen Artikel schreiben. Nachdem der Entwurf zu lang wurde und zu viele Tipps enthielt, wie man sich wirklich gegen Viren und Malware schützt, habe ich mich entschlossen, eine Serie daraus zu machen.

Sich vor Schadsoftware zu schützen ist gerade für Menschen mit geringen Computerkenntnissen schwer. Viele verzichten daher darauf und riskieren damit nicht nur, dass ihre persönlichen Daten ausgespäht oder zerstört werden – sie gefährden und schädigen auch andere, denn ein verseuchter Rechner wird meist dazu missbraucht, Spam zu versenden, Angriffe auf andere Rechner durchzuführen oder andere illegale Dinge zu tun. (Ja, auch die Verbreitung von Kinderpornographie kann auf diese Art und Weise stattfinden.)

Insbesondere durch die Werbung der Antivirensoftwarehersteller entsteht oft der Eindruck, ein gutes Antivirenprogramm sei der beste Schutz oder würde reichen, um sich zu schützen. Das ist leider Unsinn, wie im folgenden erklärt und begründet wird.

Entgegen der üblichen, veralteten Kategorisierung in Viren, Würmer etc. würde ich die heute gängige Schadsoftware (Malware) nur noch nach dem Infektionsweg in zwei Kategorien einteilen: Exploit-Malware und Datei-Malware. Datei-Malware bekommt man, wenn man ein vermeintliches „Update“ herunterlädt oder eine vermeintliche Rechnung (.pdf.exe) in einer E-Mail öffnet, die aber den Virus enthält. Dagegen schützt ein gesunder Menschenverstand und einige Grundkenntnisse. Exploit-Malware hingegen bekommt man, indem man eine eigentlich nicht ausführbare Datei, z. B. PDF, HTML, JPEG, DOC oder ähnliches, mit fehlerhafter Software öffnet, und die Datei so manipuliert ist, dass sie den Fehler ausnutzt um Malware zu installieren.

Die Tendenz geht derzeit immer mehr zu Exploits. Eine Infektion über Exploits setzt allerdings voraus, dass eine Sicherheitslücke vorhanden ist und der Angreifer versucht, genau diese Lücke auszunutzen. Die ständigen nervigen Updates schließen diese Lücken. Meist erfahren die Hersteller von Lücken, bevor Virenschreiber diese missbrauchen, und geben Updates heraus. Wochen oder Monate nachdem das Update öffentlich wurde, schwappt dann eine Virenwelle durch das Land und infiziert diejenigen, zu zu faul oder zu ahnungslos waren, um die Updates zu installieren. Es gibt auch seltene „Zero-Day-Exploits“, die öffentlich bekannt werden, bevor ein Update verfügbar ist. Dagegen ist Schutz nur sehr schwer möglich. Aber auch diese Exploits werden selten in großem Maße ausgenutzt, bis ein Update verfügbar ist.

Generell sollte man nicht mit vollen Adminrechten arbeiten, damit Malware sich nicht so leicht einnisten kann. Was unter XP noch relativ umständlich sein kann, ist in den neueren Windows-Versionen viel leichter (und vor allem standardmäßig aktiv), was die Verbreitung von Malware bei den neuen Versionen bereits deutlich gesenkt hat.

Spezielle Tipps zum Schutz vor den einzelnen Malwarearten gibt es in den weiteren Teilen. Dabei gehe ich davon aus, dass als Betriebssystem Windows (XP oder neuer) und als Browser Mozilla Firefox verwendet wird, welcher relativ sicher ist und viele Funktionen bietet. Wer noch den Internet Explorer nutzt, sollte dringend wechseln, da mit diesem die Sicherheit nicht gewährleistet werden kann. Hier nicht erwähnte Browser sind nicht unbedingt unsicherer, aber ich kann nur für Firefox Ratschläge für eine gute Konfiguration geben.

Wichtig: Es geht hier um den Schutz für Privatrechner vor allgemeinen, gestreuten Angriffen. Wenn jemand gezielt in einen bestimmten Rechner rein will, kommt er i.d.R. rein. Der Schutz von Firmennetzen ist eine Wissenschaft für sich.

Die Artikel, die diese Woche erscheinen werden:

• Echter Schutz vor Exploit-Malware – kostenlos
• Exploit-Malware – Plugins schützen!
• Updaten – aber sicher!
• Datei-Malware
• Nutzlose Virenscanner
• Firewalls

Ich verweise sicherheitshalber darauf, dass diese Serie urheberrechtlich geschützt ist. Es ist natürlich erlaubt und willkommen, darauf zu verlinken. Es ist ebenso in Ordnung, kurze Teile mit klarer Quellenangabe zu zitieren. Ich habe natürlich auch nichts dagegen, wenn sich jemand Artikel abspeichert, an ein paar Freunde schickt oder für sie ausdruckt. Es ist aber nicht in Ordnung, ganze Artikel ungefragt auf die eigene Website zu übernehmen, den Inhalt ohne Quellenangabe zu verwenden oder gar in irgendwelche Tippsammlungen zu übernehmen oder gedruckte Fassungen davon weiterzuverkaufen.