Anwendungen sicher konfigurieren

Nachdem die passenden Anwendungen ausgewählt und installiert sind, müssen noch der Web-Browser und der Email-Client sicher eingestellt werden. Die hier beschriebenen Einstellungen beschränken sich auf die meistgenutzten Anwendungen von Microsoft (Internet Explorer und Outlook) und Mozilla (Firefox und Thunderbird).

Web-Browser

Der Browser (das Programm, mit dem du diese Webseite im Web abgerufen hast) ist für Angreifer aus dem Internet das grösste Einfallstor auf dem Computer eines Anwenders. Der Besuch mit den falschen Browser-Einstellungen auf einer präparierten Webseite genügt oft schon, um sich mit einem binären Schädling zu infizieren. Vor dem Besuch einer potenziell gefährlichen Seite sollte man daher mindestens die Ausführung von Scripts (in Webseiten eingebetteter Programm-Code, der lokal vom Browser ausgeführt wird) in den Einstellungen deaktivieren. Wer mit dem Firefox unterwegs ist, erledigt dies komfortabel mit dem Add-on „NoScript“. Im Internet Explorer ist das etwas umständlicher und erfolgt über die Einstellungen der Sicherheitszone. Ebendort lassen sich auch die Einstellungen zu den grundsätzlich sicherheitskritischen ActiveX-Steuerelementen vornehmen. Mehr dazu kann man bei Microsoft nachlesen.

Cookies (kleine Textdateien, die vom Browser lokal gespeichert werden) von Dritt-Websites sollten verworfen werden. Generell sollten Cookies am besten nach jeder Surf-Session gelöscht und der Cache geleert werden. Der Firefox erledigt dies automatisch, wenn in den Einstellungen zur Privatsphäre die Option „Private Daten beim Schliessen löschen“ mit den richtigen Einstellungen aktiviert wird.

Um nicht ständig durch sich selbständig öffnende Fenster gestört zu werden sollten Pop-up-Fenster blockiert werden. Dies ist mittlerweile auch im Internet Explorer einstellbar. Bei beiden Browsern können Ausnahmen zu bestimmten Webseiten definiert werden.

Wenn eine Website für die Verschlüsselung bzw. Authentisierung ein Benutzer-Zertifikat verlangt, sollte dieses nicht automatisch ausgewählt werden, sondern der Benutzer sollte die Möglichkeit haben, selber zu bestimmen, welches der anfordernden Webseite präsentiert werden soll (-> in den Einstellungen „jedesmal nachfragen“ wählen).

Wer sicher sein will, dass seine Browser-Einstellungen sicher sind, kann diese mit dem c’t-Browsercheck überprüfen.

Email-Client

Grundsätzlich sollte ein Email-Client keine Funktionen des Web-Browsers übernehmen, d.h. er sollte weder in HTML-Emails eingebetteten Script-Code (JavaScript, VB Script) ausführen oder multimediale Inhalte (Filme, Musik) abspielen noch Cookies verarbeiten. Diese Funktionen können in den Einstellungen der aktuellen Email-Clients deaktiviert werden.

Unerwünschte Nachrichten (Spam) sollen bereits beim Eintreffen unterdrückt beziehungsweise gelöscht werden. Hier hilft einerseits der Spamfilter und andererseits können Regeln und Filter definiert werden, die Emails von bestimmten Absendern oder mit bestimmten Inhalten automatisch in den Papierkorb befördern oder direkt ganz löschen.

Das Email-Programm soll beim Öffnen einer Email auch keine Inhalte aus dem Netz nachladen dürfen. Daher soll sich der Email-Client nur mit den Ports 110 bzw. 995 (POP3, zum Abholen der Post) und 25 (SMTP, zum Versenden der Post) an einem entfernten Rechner verbinden dürfen. Die anderen Ports sollten für den entfernten Kommunikationspartner in der Personal Firewall für den Email-Client blockiert werden. Damit wird verhindert, dass Spam, Schad-Code oder Web-Bugs (1 Pixel grosse Bilder, die auf einem Web-Server als Lesebestätigung abgeholt werden und Benutzeraktionen verfolgbar machen) nachgeladen werden. Wenn nachzuladende Inhalte von einem Webserver unterdrückt werden, dann sieht das so aus.

In mehrerer Hinsicht ist ein richtig konfigurierter, lokaler Email-Client einem Web-Client (wo die Emails im Web-Browser bearbeitet werden) in Sachen Sicherheit immer überlegen und deshalb nach Möglichkeit vorzuziehen.

Nur mit eingeschränkten Benutzerrechten arbeiten

Das Betriebssystem sollte so eingerichtet werden, dass ein Benutzer – vor allem wenn er im Internet unterwegs ist – jeweils nur als Nutzer mit eingeschränkten Rechten arbeitet. So erhält auch ein neu eingedrungener Schädling nicht den vollen Zugriff auf alle Daten und Einstellungen des Rechners und kann somit keine Veränderungen am System vornehmen, für welche Administratorrechte nötig sind.