Sicheres Verhalten im Netz

Das grösste Risiko sitzt vor dem Bildschirm

In den meisten Fällen stellt der (unbedarfte) Benutzer das grösste Sicherheitsrisiko dar. Wird ein Rechner von mehreren Personen genutzt (Familien-PC), genügt es bereits oft, wenn auch nur ein einzelner sich durch sein Fehlverhalten mit einem Schädling infiziert. Wie wenn ein Kind dem „schwarzen Mann“ die Haustür öffnet, nützt es nichts, wenn sich seine Geschwister richtig verhalten. „Nur“ noch schnell ein Spielchen ausprobieren, „nur“ eine Datei mit lustigem Inhalt öffnen, das man per Email von Freunden bekommen hat, „nur“ …

Wie Alexander Greisle bei work.innovation richtig bemerkt, entwickelt sich Datenschutz zu den Kernkompetenzen im Online-Leben. Wer den bewussten Umgang mit persönlichen Informationen sowie auch den technischen Mitteln nicht lernt und auch nie übt, ist nicht fit genug für das Web. „Wer nicht liest, bleibt dumm“ hiess es früher. Das gilt im Web vor allem auch für das Lesen von allgemeinen Geschäfts- und Nutzungsbedingungen und Datenschutzerklärungen vor der Nutzung eines Online-Dienstes. Wer zum Beispiel die Datenschutzbestimmungen von Google genau liest, dem werden einige Punkte zu Googles Umgang mit personenbezogenen Informationen etwas „komisch“ vorkommen – und nicht bloss dem Laien. Wenn dann die Google-Gründer öfftenlich ihre Sorgen um den Datenschutz kundtun, ist das nicht sonderlich glaubwürdig.

Ein paar grundsätzliche Verhaltensregeln

Wie im Strassenverkehr gilt auch im Internet: mindestens so wichtig wie die technische Sicherheit ist das sichere Verhalten. Früher, da gab es mal die Netiquette, die so etwas wie der „Knigge“ für Internetnutzer war. Heute scheint sich kaum noch jemand daran zu erinnern. Sie wurde auch nie mehr aktualisiert und den heutigen Technologien angepasst. Daher fasse ich im Folgenden das Wesentliche in aktualisierter Form zusammen:

1. Nicht einfach alles ausprobieren, ohne zu wissen, was man tut und damit bewirkt!
2. Vor allem nicht auf jeden Link klicken, den man vorgesetzt bekommt – sei es in einer E-Mail oder auf einer Webseite!
3. Schadsoftware kann sich prinzipiell in jeder Art von Datei einnisten. Daher Dateien nur von wirklich vertrauenswürdigen Websites herunterladen! Merke: Auch beim Betrachten eines Bildes oder Videos oder beim Anhören eines Musikstückes wird die betreffende Datei auf den eigenen Rechner heruntergeladen.
4. Keine unnötige oder unbekannte Software installieren. Und wenn unbekannte Software ausprobiert werden soll, erfolgt dies nach Möglichkeit immer in einer eigens dafür vorgesehenen, isolierten Testumgebung.
5. Im Web kann jeder mitlesen. Daher nur solche Informationen publizieren, die man auch an eine Hauswand schreiben würde!
6. E-Mails können, wenn sie unverschlüsselt übertragen werden, von jedermann auf dem Übertragungsweg mitgelesen werden, der Zugriff auf die betreffende Infrastruktur hat. In E-Mails deshalb nur das schreiben, was man auch auf eine Postkarte schreiben würde!
7. Für unterschiedliche Zwecke verschiedene Email-Adressen verwenden! (Siehe weiter unten)
8. Gefährliche Websites aussperren, soweit dies technisch möglich ist! (Siehe weiter unten)
9. Sicherheits-Software ständig aktualisieren und Sicherheitslücken in Betriebssystemen und Anwendungen durch Einspielen von Patches möglichst rasch schliessen, sobald diese verfügbar sind! So lange allenfalls bestimmte Funktionen ausschalten oder auf ihre Nutzung (vorübergehend) verzichten.
10. Fremde sollten gar nicht oder (wenn unbedingt notwendig) nur unter Aufsicht an die eigenen IT-Systeme gelassen werden.
11. Nur wirklich notwendige persönliche Daten im Web preisgeben. Bei Wettbewerben (hochdeutsch: Preisausschreiben) oder Gewinnspielen sollte man besser erst gar nicht teilnehmen. Da geht es immer nur ums Sammeln von Namen und Adressen sowie das Erstellen von Konsumentenprofilen.

Preisgabe von Informationen

Im Zeitalter der Informationsgesellschaft sind Informationen in Form von Daten zum wohl wichtigsten Wirtschaftsfaktor geworden und stellen daher ein begehrtes Gut dar. „Wissen ist Macht“ gilt mehr als je zuvor. Seien es Geschäftsgeheimnisse, Zugangsdaten zu Online-Banking, Kreditkartennummern, Email-Adressen, Fotos mit peinlichem und kompromittierendem Inhalt oder bloss private Profildaten für zielgenaue Werbeeinblendungen, wir tun gut daran, diese Informationen nicht der breiten Öffentlichkeit zugänglich zu machen. Aber der moderne Mensch besteht nun mal aus Daten. Welche davon unkontrolliert umherschwirren, kann man weitgehend selber beeinflussen.

Das „ich google dich“-Phänomen beschränkt sich schon lange nicht mehr auf Personalmanager, welche auch die private Seite eines Bewerbers vor dem Interview-Termin ergründen wollen. Auch viele Kollegen, Nachbarn und Geschäftspartner erkundigen sich regelmässig im Web über die Web-Reputation von Personen, über welche sie mehr erfahren möchten als diese ihnen selber mitteilen. Einen rufschädigenden Eintrag auf einer Website loszuwerden und aus den Indizes und Caches der Suchmaschinen zu löschen, ist beinahe unmöglich und wenn es trotzdem gelingen soll, dann ist es mit sehr grossem Aufwand verbunden.

In öffentlich zugänglichen Bereichen des Web sollte man deshalb nur das schreiben, was man auch an eine Hauswand schreiben würde. Dabei macht es keinen Unterschied, ob man sich für eine Plattform registrieren muss oder nicht, denn wo sich jeder registrieren kann, kann auch jeder mitlesen. Aber auch Inhalte von ursprünglich privaten Emails und Beiträge im firmeneigenen Intranet gelangen Dank meist fehlender technischer Hürden leicht in den öffentlichen Teil des Netzes.

Auch im Web gilt die Volksweisheit „Was du nicht willst, dass man dir tut, das füg auch keinem andern zu!“ sowie die Regel „Wenn du schon Mist von dir gibst, dann tu das wenigstens so, dass man es nicht mit dir in Verbindung bringen kann!“. So sollte man zum Beispiel keine Namen von Personen in einem privaten oder gar intimen Zusammenhang öffentlich nennen, ausser es handelt sich um ein wirklich öffentliches Interesse, das höher zu gewichten wäre als der Persönlichkeitsschutz der betreffenden Person. In jedem Fall ist die Publikation von ehr- und persönlichkeitsverletzenden Inhalten zu unterlassen. Dies alles gilt ganz besonders für die Teilnahme in „sozialen Netzwerken„. Und wenn man schon das Gefühl hat, zum Beispiel peinliche, kompromittierende Fotos zur allgemeinen Belustigung ins Netz stellen zu müssen, sollte man wenigstens die Namen der betroffenen Personen (sowie auch den eigenen) weglassen.

Datenschutz und Privatsphäre

Beliebte Social-Networking-Webseiten werden zunehmend zur Gefahr für die Privatsphäre. Dank Diensten wie Myspace, Xing & Co. werden private Daten zunehmend öffentlich. Über die Hälfte der Europäer haben Angst vor Datenmissbrauch im Social Networking, sagt die Studie von Survey Sampling International. Am meisten Angst haben die Leute, Opfer von Identitätsdiebstahl und unerwünschter Werbung zu werden. Für Firmen wird es problematisch, wenn durch die Offenheit und Kommunikationsfreudigkeit der Mitarbeiter der Industriespionage Vorschub geleistet wird. Dies alles tut dem Daten-Striptease allerdings (noch) keinen Abbruch.

Es kann vorkommen, dass persönliche Daten von einer Social-Networking-Site gestohlen (respektive kopiert) und zum Zugriff auf andere Online-Dienste missbraucht werden. Wer sicher gehen möchte, dass seine Daten nicht missbraucht werden, sollte sich bei sozialen Netzwerken nur unter einem Pseudonym anmelden. Sich unter falschem Namen anzumelden und zu kommunizieren, ist aus rechtlicher Sicht erlaubt, auch wenn viele Plattformen dies in ihren allgemeinen Geschäfts- und Nutzungsbedingungen nicht zulassen. Bei geschäftlichen Kontaktplattformen macht dies allerdings auch keinen Sinn.

Bei allen Websites, für deren Nutzung eine Registrierung angeboten oder gar vorausgesetzt wird, wird jede einzelne Aktion des Besuchers aufgezeichnet. Daraus werden Personenprofile erstellt, die sich nicht nur für die Einblendung personalisierter Werbung eignen. Besonders bei der Verfolgung von Urheberrechtsverletzungen sind sie von besonderem Interesse, wie das Urteil zur Herausgabe von Logfiles im Streit zwischen Google und Viacom zeigt. Auch wenn Google die Privatsphäre der Nutzer noch so sehr zu schützen versuchte, könnte Google gegen richterliche Anordnungen und Gerichtsurteile nichts ausrichten. Datenschützer sorgen sich um die Privatsphäre der Internetnutzer.

Es gilt jeweils immer das Datenschutzrecht jenes Staates, in welchem der Provider seinen Sitz hat beziehungsweise in dem seine Server stehen. Da dies auch unterschiedliche Länder sein können (z.B. Anbieter in der Schweiz mit Servern auf Antigua), können gleichzeitig zwei durchaus ganz verschiedene Rechte zur Anwendung gelangen. Eine solche Rechtskollison stellt den jeweiligen Anbieter vor eine besondere Herausforderung. Der Benutzer gehört aber immer auch zu den Leidtragenden, ohne sich in irgendeiner Weise dagegen zur Wehr setzen zu können. Daher sollte man sich wirklich gut informieren und bedenken, wem man seine Daten anvertraut und wo man welche Spuren hinterlässt.

Du bist nicht allein und wirst beobachtet

„Das Web vergisst nichts„ heisst der Grundsatz, den es zu beachten gilt. Irgendwo (ich weiss die Quelle leider nicht mehr) habe ich einmal folgende Weisheit gelesen: „Auch wenn Du plötzlich sterben solltest, hinterlasse das Web und Deine Einträge darin so, dass Du jederzeit guten Gewissens aus dem Leben treten kannst.“ Der Informatikdozent Kieron O’Hara drückt dies bildlich so aus: „Interneteinträge sind wie ein Tatoo auf unserem Gesicht“. Um die eigene Person zu schützen, sollte man sich (vorher) nicht nur gut überlegen, was man schreibt, sondern auch ob man unter dem richtigen Namen, unter einem Namenskürzel oder gänzlich anonmym unter einem Pseudonym seine Meinung und Kommentare zum Besten geben möchte.

Das Internet eignet sich hervorragend für die personalisierte und streuverlustfreie Verbreitung von Werbung. Deshalb wird die Webnutzung von praktisch allen Werbetreibenden maximal möglich aufgezeichnet und ausgewertet, um mehr Informationen über den Besucher zu erfahren und ihn dann mit zielgenauer, auf seine Interessen und Neigungen abgstimmter Werbung zu beglücken. Das nennt sich personalisierte Werbung beziehungsweise „Behavioral Targeting„. Viele Dienstleister bieten zudem kostenlose Software-Erweiterungen an, mit denen sie das Web-Nutzungsverhalten des Benutzers aufzeichnen und auswerten. Mehr dazu etwas weiter unten.

Wer als Arbeitnehmer am Arbeitsplatz Zugang zum Internet hat, muss immer damit rechnen, dass seine Emails und Web-Besuche vom Arbeitgeber überwacht und belauscht werden, auch wenn dies sehr oft illegal geschieht. Auch der Einsatz von Schädlings-Scannern auf dem Unternehmens-Proxy ist nichts Ungewöhnliches. Dabei wird oft der verschlüsselte Datenverkehr über https aufgebrochen, worüber der Mitarbeiter jedoch in jedem Fall informiert werden müsste, was aber nicht überall korrekt gehandhabt wird. Zudem können es sich viele IT-Administratoren nicht verkneifen, ihr Zugangsrechte und Systemkenntnisse auch zum Ausspionieren von Mitarbeitern einzusetzen.

Google weiss, was Du machst

Google Analytics ist ein kostenloser Service für Websitebetreiber, um das Nutzerverhalten der Besucher zu untersuchen und Statistiken darüber zu erstellen. Dabei werden personenbezogene Daten auf Servern in den USA gespeichert und umfassend ausgewertet. Sowohl den meisten Betreibern als auch Besuchern ist nicht bewusst, dass solche Werkzeuge zum Tracking und Erstellen von Nutzungsstatistiken sowie auch der Transfer solcher personenbezogener Daten ins Ausland (in diesem Fall die USA) einen Verstoss gegen Datenschutzrechte darstellt.

Google hat Kenntnis über alle Besucher auf Analytics-basierten Webseiten – und das sind über 80 Prozent der meistgelesenen Seiten im Web. Deutsche Datenschützer haben dieses Problem kürzlich aufgegriffen und stellen Google zu Rede. Erste Websitebetreiber deaktivieren Google Analytics.

Google hat den US-amerikanischen Vermarkter von RSS-Feeds Feedburner aufgekauft und um den Dienst „Adsense for Feeds“ erweitert. Damit kontrolliert Google den grössten westlichen RSS-Feedvermittler und weiss auch, woher welche Nachrichten abgerufen werden. Wer Feedburner nutzt, gibt Google bekannt, wofür er sich interessiert und aus welchen Quellen er seine Informationen bezieht. Dies ermöglicht Google, seine bestehenden Profildaten anzureichern, denn Google weiss, wer sich für welche Nachrichten interessiert. Noch gefährlicher ist allerdings, dass Google dieses Wissen nicht bloss für zielgenaue Werbung einsetzen kann, sondern auch über das Wissen verfügt, über welche Kanäle die öffentliche Meinung höchsteffizient manipuliert werden kann, was auch für die nächsten Präsidentschaftwahlen in den USA sicher von Bedeutung sein wird.

Google Gadgets sind Spionagewerkzeuge und ein Einfallstor für Datenspione und Hacker. Wer sogar ein Konto bei Google hat und dieses nutzt, teilt sein Leben mit dem Internet-Konzern aus Mountain View. Der 17 Minuten lange Beitrag der TV-Sendung „Monitor“ vom 24.07.2008 gibt darüber Aufschluss.

Gefährliche Websites und Inhalte sollst Du meiden

Im Netz lauern „Spinnen“, die nur darauf warten, dass man ihnen in ihr vergiftetes Netz geht. Solche mit Schadsoftware verseuchten Seiten bieten attraktive Inhalte für die meist „labileren“ Besucher. Typisch für solche Lockvogel-Angebote sind Warez, Cracks, Cheats und viel nackte Haut, aber auch zunehmend vielversprechende, kostenlose Anti-Schadsoftware. Bei zweifelhaften Angeboten ist äusserste Vorsicht geboten! Ein falscher Klick genügt, um sich zu infizieren.

Alle elektronischen Dokument-Formate (wie zum Beispiel Word-Dokumente, Excel-Tabellen, PDF-Dateien), die ausführbaren Code (JavaScript oder Visual Basic for Applications) für Macros oder die Darstellung von Inhalten enthalten, sind beliebte Einfallstore für Hacker. Vor allem durch Programmierfehler in den Applikationen kann darüber beliebiger Programmcode eingeschleust und ausgeführt werden. Im weniger schlimmen Fall kann die Software gezielt zum Absturz gebracht werden. Voraussetzung ist allerdings, dass die Code-Ausführung in den Sicherheits-Einstellungen der jeweiligen Applikationen zugelassen wird. Allein das Öffnen einer manipulierten Datei genügt schon, um sich mit einem Schädling zu infizieren. Daher sollte man nicht wahllos von überall Dateien herunterladen.

Viele User tippen die URL der aufzurufenden Website immer noch von Hand ein. Gewisse Adressen sind besonders anfällig auf Vertipper, weil sie sich zum Beispiel auf der Tastatur nicht flüssig tippen lassen. Hier setzt Typosquatting an. Der Benutzer wird „entführt“ und landet auf einer Seite, welche der vermeintlich aufgerufenen zum Verwechseln ähnlich sieht, aber jemand anderem gehört, der damit unlautere bis kriminelle Absichten verfolgt. Um dies zu vermeiden, sollten oft besuchte Seiten (vor allem für Online-Transaktionen wie Banking und Shopping) in der Favoritenliste des Browsers gespeichert und nur darüber geöffnet werden. Wenn man trotzdem auf einer falschen Website landet, ist es am Besten, gleich den Browser ganz zu schliessen (oder notfalls im Taskmanager abzuschiessen) und ihn anschliessend neu zu starten.

Für jeden Zweck eine eigene Email-Adresse

Bei Publikation einer Email-Adresse im Web muss grundsätzlich mit massivem Spam-Aufkommen gerechnet werden, da die Suchroboter der Spammer regelmässig das ganze Netz durchforsten und dabei jede Adresse inventarisieren und verwerten, die sie auf einer Webseite finden. Für den elektronischen Briefverkehr mit unbekannten oder unsicheren Kommunikationspartnern empfiehlt sich daher eine Email-Adresse, die relativ leicht wieder „abgestossen“ und durch eine neue ersetzt werden kann. Vor allem dort, wo die Gefahr besteht, mit unerwünschter Werbung zugemüllt zu werden – bei Registrierung für Webdienste, im Online-Shop oder besonders auf sozialen Vernetzungsplattformen – kommt diese Email-Adresse zum Einsatz. Solche Wegwerf-Adressen holt man sich zum Beispiel bei Gratis-Emailern (GMX, Web.de, …). Man muss sich dabei einfach bewusst sein und immer damit rechnen, dass sämtlicher Email- und Web-Verkehr über eine solche kostenlose Adresse vom Dienstanbieter mitgelesen und für Zwecke der Marktforschung sowie die „streuverlustfreie“, benutzerprofilbasierte Einblendung von Werbung analysiert wird, obschon dies gegen das Datenschutzgesetz sowie das Fernmeldegeheimnis verstösst. Deshalb sollte man sich hier möglichst nur unter einer fiktiven Identität registrieren.

In der Praxis hat sich eine Unterscheidung zwischen verschiedenen Email-Adressen für folgende Zwecke bewährt:

• Newsletters (Wegwerfadresse)
• e-Commerce/Online-Shopping (Wegwerfadresse)
• öffentliche private Kontaktadresse
• öffentliche geschäftliche Kontaktadresse
• private Korrespondenzadresse
• geschäftliche Korrespondenzadresse

Wenn überhaupt, dann werden nur Wegwerf-Email-Adressen in unsicheren und öffentlichen Bereichen preisgegeben! Die private und geschäftliche Korrespondenzadresse wird nie öffentlich publiziert. Dafür ist die Kontaktadresse da. Diese sollte nach Möglichkeit kurz und leicht buchstabierbar sein, weil man sie gelegentlich auch telefonisch mitteilen muss. Auch für Einträge in Vereinslisten, die häufig auf der Vereinswebsite veröffentlicht werden, sollte man höchstens die öffentliche Kontaktadresse angeben. Ständige Email-Adressen und Telefonnummern sollten nur bekannt gegeben werden, wenn dies wirklich nötig und unumgänglich ist.

Auch für die Registrierung zur Freischaltung von Software grundsätzlich immer nur eine Wegwerf-Email-Adresse verwenden! Hier gibt es in den Online-Formularen meist ein Feld zur Abonnierung eines Newsletters des Anbieters, welches in der Regel schon vorselektiert ist. Wenn man nicht mit unerwünschter Werbung eingedeckt werden möchte, sollte man diese Checkbox unbedingt deaktivieren. Für die einmalige Registrierung über das Opt-in-Verfahren, bei dem die Registrierung über den Aufruf eines Links in einer Email an die angegebene Adresse erfolgt, verwendet man am besten spamcop.net oder Spamgourmet, welche die eingehende Post wiederum auf eine Wegwerfadresse weiterleiten. Unerwünschte Emails lassen sich übrigens mit Filterregeln automatisch in definierte Verzeichnisse verschieben oder direkt löschen.