[LOGO] ITM praktiker - MULTI MEDIA & ELEKTRONIK

Strategien gegen Belästigung, Spionage und Trickbetrug via Internet


Sobald man seinen Rechner mit dem Internet verbunden hat, ist die Privatsphäre verlassen. Alles, was auf dem mit dem Internet verbundenen Rechner gespeichert ist, ist - mehr oder weniger einfach - öffentlich zugänglich. Und auch der Inhalt aller anderen Rechner, die mit diesem Rechner über ein lokales Netzwerk verbunden sind. Es ist so wie mit einer Wohnungstür: Keine Tür und kein Schloss kann einen Einbruch verhindern. Aber man kann den Einbruch so umständlich und zeitraubend machen, dass sich der Einbrecher lieber eine andere Wohnung sucht. Beim Rechner gibt es aber in Form von Viren und Macroviren die Möglichkeit, dass sozusagen Bomben ferngezündet werden. Mit einiger Erfahrung und Wissen um die Hintergründe kann man das Risiko in engen Grenzen halten. "praktiker" hilft dabei mit der ausführlichen Behandlung der wesentlichen Punkte zu diesem Themenkreis.


 AUF DIESER SEITE & VERWANDTE THEMEN

<=> Internet abschotten vom Rest: Separater PC, USB-Boot oder Instant-on-Software

<=> So kommen Kinderpornos auf Ihren Rechner

<=> Größte Schwachstelle: Passwörter, simpler Fingerabdruck-Sensor

<=> Cookies können viel verraten

<=> Heimtückische Links haben unerwartetes Ziel

<=> Gefälschte Web-Seiten, PIN-Abfrage

<=> Was Firewalls wirklich bringen können

<=> Dynamische IP-Adresse ist sicherer

<=> Viren und Macro-Viren

<=> So kommen Viren in den Rechner

<=> E-Mails sind "vertraulich" wie öffentliche Kundmachung

<=> Software, Geräte mit "Heimweh"

<=> Bevorzugte Ziele für Viren

<=> Windows: Erweiterungen bei bekannten Dateitypen ausblenden abschalten

<=> Ganz legale Spionage: erlaubt über Eula bei Installation

<=> Google Analytics und andere Blockwart-Dienste auf Websites

<=> Clickjacking: Fremde Websites mit transparenter Klick-Falle

<=> Scareware: Angst, Schrecken und mitunter Geldforderung

<=> Gesunde Portion Paranoia ist nicht falsch

<=> Geschäft mit der Angst um die Sicherheit

<=> Social Networks wie Facebook & Co. sind öffentlich

<=> Anonym im Internet gibt es nicht, Anonymisierung ist unsicher

<=> Kameras, Mikrofone und der Rückkanal - Orwells 1984 war optimistisch


==> Speziell für Einsteiger: Empfohlene Software fürs Internet

==> Speziell für Einsteiger: Ezzes für Ihren Umgang mit E-Mail

==> Strategien gegen Spam und Trickbetrug via E-Mail


Erkennung und Verhütung - Virenschutz-Software, aktuelle Viren-Warnungen:

=>> Ikarus Software


Internet abschotten vom Rest: Separater PC, USB-Boot oder Instant-on-Software

Bekanntlich kann von außen über verschiedene Funktionen in Browsern bzw. über Plug-ins zu Browsern auf den Rechner des Anwenders zugegriffen werden. Entweder automatisiert, indem die Software die Aktivitäten des Anwenders an den Hersteller der Software weiterleitet. Oder auch individuell, dass - während man online ist - jemand auf dem Rechner herumsuchen kann.

Abgesehen davon, birgt das Internet immer wieder die Gefahr, dass ein Virus eingeschleppt wird. Die einzig verlässliche Lösung ist also ein separater PC, der ausschließlich fürs Internet verwendet wird.

Das kann entweder ein tatsächlich separater PC sein oder man startet auf dem PC ein separates Betriebssystem von einem USB-Speicherstick oder - das gibt es seit ein paar Jahren bei manchen Notebook-PCs - sogenannte Instant-on-Software, wobei ein simples Betriebssystem mit einigen Webanwendungen läuft.

Wichtig in jedem Fall ist, dass es mit der Lösung keinen Zugriff auf die Harddisk des PCs gibt, dessen Daten abgeschottet bleiben sollen. Also entweder ein separater PC oder ein unabhängig von der Harddisk des PCs startendes und ablaufendes System.

Der Rechner oder das eigene Netzwerk mit den wichtigen persönlichen bzw. Firmen-Daten sollte also - wenn dazu die Möglichkeit besteht - nicht mit dem Internet verbunden werden können. Es geht damit sehr viel Komfort verloren, wird aber optimale Sicherheit erreicht was Datenschutz und Datensicherheit anlangt.

Nachfolgend nun kurz die drei Möglichkeiten, die evtl. eine Lösung sein könnten.

Separater Internet-PC wäre ideal für Schutz vor Spionen und Viren

Ein separater PC, der nur für die Verbindung zum Internet verwendet wird, wäre zwar ziemlich umständlich, aber eigentlich der Idealfall. Wenn garkeine Verbindung besteht, dann kann auch nichts beschädigt oder ausgespäht werden.

Hat man auf dem betreffenden Rechner nur die Internet-Anwendungen installiert und von dieser Konfiguration eine Sicherungskopie erstellt, dann ist es einfach: Man formatiert die Harddisk neu und stellt den vorherigen Zustand wieder her. Das Schlimmste, was einem dann noch passieren kann, ist, dass man die aktuelle Version der Lesezeichen seines Browsers nicht mehr hat oder dass die E-Mails weg sind. In der Regel wird das ein kleines Problem sein, verglichen damit, dass womöglich alle Daten - die Büroanwendungen etc. - zerstört und / oder von außen eingesehen werden könnten.

Eigenes Betriebssystem: beispielsweise Ubuntu vom USB-Stick starten

Eine andere Möglichkeit ist es, ein Betriebssystem von einem USB-Speicherstick zu starten und nicht auf die Haupt-Harddisk des betreffenden Computers zuzugreifen. Solcherart kann diese nicht ausspioniert oder Daten dort manipuliert werden. Dafür bietet sich Ubuntu-Linux an, wofür es eine fixfertige Installation mit allen wichtigeren Anwendungen gibt. Diese wird also einfach auf einen USB-Speicherstick installiert und von diesem aus fortan der PC damit gestartet um damit das Internet zu nutzen.

Laden Sie zuerst das ISO-Image der Ubuntu-DVD herunter. Evtl. wählen Sie sicherheitshalber die 32-bit-Version, damit diese auch auf schwächeren PCs gut läuft. Für die Internet-Anwendungen gäbe es mit er 64-bit-Version keine Vorteile:

=>> www.ubuntu.com/download/desktop

Nun bereiten Sie einen USB-Speicherstick vor mit einer Kapazität von 8 GB beispielsweise. mit dem folgend verlinkten Programm "Universal USB Installer" wird das ISO-Image der Installations-CD von Ubuntu auf einen USB-Speicherstick übertragen. Das Programm dafür läuft unter Windows. Stellen Sie bei den Einstellungen auch eine Dateigröße für "Persistent file size" ein. Das ist der Speicherplatz, der verwendet wird um Einstellungen speichern zu können. Ansonsten wären freilich bei jedem neuen Start von Ubuntu alle Konfigurationen und sonstige Einstellungen verloren und müssten jedesmal neu eingegeben werden:

=>> www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/

Nun brauchen Sie nur den USB-Speicherstick mit Ubuntu in einen PC stecken und im BIOS des PCs die Boot-Reihenfolge so einstellen, dass von diesem USB-Laufwerk gebootet wird. Die Bedienung von Ubuntu ist sehr ähnlich jener von Windows und es ist nicht viel einzustellen. Die wesentlichen Anwendungen wie Webbrowser, E-Mail-Client etc. sind bereits vorinstalliert.

Abgesehen von dem einen USB-Laufwerk, von dem aus Sie den PC gestartet hatten, gibt es vorerst kein Laufwerk. Alle weiteren Laufwerke, die Sie verwenden wollen, müssten dafür "gemountet" werden. Um heruntergeladene Daten irgendwo speichern zu können brauchen Sie freilich einen weiteren USB-Stick oder ein weiteres sonstiges USB-Laufwerk.

Die Haupt-Harddisk des PCs können Sie freilich auch mounten, aber das wäre wohl für den hier vorgesehenen Zweck - Internet-Anwendungen abschotten vor den heiklen eigenen Daten - eher nicht sinnvoll.

Bei neueren Notebook-PCs: Instant-on-Software, HP QuickWeb etc.

Es ist schon immer das Ziel gewesen, die Hochstartzeit bei Notebooks möglichst kurz zu halten. Das ist mit normalem Windows nur möglich im Standby-Modus, wobei aber - zumindest ein bisschen - Strom verbraucht wird. Die etwas jüngere Lösung für dieses Problem ist es, eingebettete Betriebssysteme zusätzlich anzubieten. So beispielsweise eine sehr schlanke Version von Linux kombiniert mit einigen Web-Anwendungen, evtl. noch Audio-Player und Fotobetrachter. Also das, was typischerweise dringend unterwegs gebraucht werden könnte und wofür nicht Windows extra hochgefahren müsste. Es ist wohl eine Frage der eigenen Anforderungen, ob das eine praktische Lösung sein kann. Es ist ja nicht so schwierig, einen PC eine halbe Minute früher einzuschalten. Abgesehen davon, sind die Leistungen der Akkus schon so gut dimensioniert, dass man zumindest einen Tag lang Standby verwenden kann, falls sich häufiger Gelegenheiten ergeben, bei denen schnell etwas gezeigt oder nachgeschaut werden muss.

Wie man evtl. auf einem Notebook vorinstallierte Instant-on-Software aktiviert, ist freilich der Dokumentation zum Notebook zu entnehmen. Normalerweise ist es so, dass es dazu eine Anwendung im Windows-Start-Menü gibt, mit der diese Instant-on-Software aktiviert oder deaktiviert werden kann. Evtl. können auch einige weitere Einstellungen dafür vorgenommen werden. Sobald man das aktiviert hat, gibt es beim nächsten Neustart des Notebooks eine Auswahl ob normal Windows gestartet werden soll oder die Instant-on-Software.

Diese Instant-on-Software-Lösungen, QuickWeb - oder wie das im Einzelfall genau heißt - haben aber einen ganz großen Vorzug: Man kann damit keine Daten speichern, es kann nichts verändert werden, weil die Programme quasi eingebrannt sind. Man hat also den Nachteil, dass man damit keine Dateien herunterladen und speichern kann, aber dafür kann auch nichts passieren. Das ist also vielleicht eine Alternative dann, wenn man gerade keinen "sicheren" PC greifbar hat, aber der eigene Notebook-PC eine solche Möglichkeit bietet, um damit sicher schnell etwas im Internet nachzuschauen, E-Mails zu checken etc.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

So kommen Kinderpornos auf Ihren Rechner

Vielfach wird die Absicherung des eigenen Rechners ganz einfach deswegen nicht so ernst genommen, weil auf dem Rechner sowieso keine interessanten Daten gelagert sind, an denen jemand Interesse haben könnte. Es kann aber auch umgekehrt sein: Ein "Zweig" der Internet-Kriminalität ist es, fremde Rechner parasitär zu verwenden. Also beispielsweise Ihren Rechner zum Versenden von aggressiver Software zu nutzen oder aber auch, um Daten auf Ihrem Rechner zu lagern.

So hatte es einmal den Fall eines Universitätsprofessors in Schweden gegeben, auf dessen Rechner Kinderpornos gefunden wurden. Es hatte zwei Jahre gedauert, bis endlich bewiesen werden konnte, dass er von diesen nichts wusste, dass diese von Fremden auf seinem Rechner gespeichert wurden. Zu diesem Zeitpunkt war allerdings seine Existenz schon ruiniert. Das ist freilich ein Extremfall. Es können auch "lediglich" Musikdateien oder Videos sein, die solcherart zum Download bereitgestellt werden, wodurch Sie deren Rechteinhaber an den Hals bekommen könnten.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Größte Schwachstelle: Passwörter, simpler Fingerabdruck-Sensor

Es ist das alte "Lied", das aber immer noch seine Berechtigung hat: Wählen Sie nicht den Namen eines Ihrer Kinder, oder womöglich überhaupt gleich den Login-Namen als Password. Das ist alles zu sehr naheliegend.

Gut gewählte Passwörter sind praktisch nicht zu knacken. Die Regel dafür, dass jemand irgendwo mit einem Password eindringen konnte ist, dass dieses entweder verraten wurde oder einfach zu einfach zu erraten war.

Abgesehen von der besten Methode, wirre Kombinationen von Buchstaben, Ziffern und Sonderzeichen zu wählen, muss man auch auf Eselsbrücken nicht verzichten. Wer könnte beispielsweise den Spitznamen eines Freundes aus der Kindheit erraten. Oder die Anfangsbuchstaben der Wörter vom Refrain eines Liedes oder eines Spruchs aus der Kindheit. Diese aneinander gereiht, ergeben eine vordergründig sinnlose Buchstaben-Kombination.

Eine Studie der Universität Cambridge im Jahr 2012 hat ergeben, dass das weltweit beliebteste Passwort "123456" ist und bei Firmen ist es "password1". Also: Jeder weiß es zwar, aber man sollte sich wirklich etwas originellere Passwörter einfallen lassen.

Zugangsdaten griffbereit notieren

Es ist inzwischen zu einem großen Problem geworden, sich die zahlreichen Zugangsdaten zu merken. Nicht immer kann man sich die Passwörter selbst aussuchen und sich diese solcherart dann vielleicht leichter merken.

Man muss sie also irgendwo notieren. Einerseits so, dass man sie idealerweise immer greifbar hat und andererseits so, dass sie niemand anderer finden und / oder lesen kann. Idealerweise wird das also in einer einfachen Textdatei passieren, die über die jeweilige Anwendung durch ein Kennwort geschützt werden kann. Dieses eine Kennwort müsste man sich dann merken. Man trägt in dieser Datei also alles ein von der eigenen Sozialversicherungsnummer über Kontonummern, Bankomat-Code bis zu PIN-Codes für Handy, Telebanking sowie schließlich Logins und Passwörter zu verschiedenen Internet-Diensten, eigenen Computern etc.

In einer solchen Datei wäre also nahezu alles Datenmaterial für Zugänge enthalten, was die eigene Person betrifft. Entsprechend gut sollte man auch darauf aufpassen. Es ist empehlenswert, diese Datei irgendwie zu verstecken zwischen anderen Textdateien. Und ihr freilich einen unverdächtigen Namen zu geben. Also nicht gerade passwords.txt.

Es ist wichtiger, die Datei zu verstecken, als das Verschlüsselungssystem. Die Verschlüsselung könnte geknackt werden. Die sicherste Methode ein Geheimnis aufzubewahren ist freilich immer die, dass nicht erkennbar ist, dass es überhaupt ein Geheimnis gibt.

Es ist dasselbe wie bei E-Mail: Wenn Sie in einem E-Mail eine unverdächtige Botschaft schreiben, deren Bedeutung mit dem Empfänger abgesprochen ist, wird sie wohl niemand finden. Wenn Sie aber "Geheim", "Streng vertraulich" in den Betreff schreiben und dann die Nachricht als solche verschlüsselt verschicken, dann wird sich vielleicht jemand daranmachen, diese zu entschlüsseln (ziemlich sicher sogar).

[!> Im Zusammenhang damit, dass zunehmend persönliche Daten in der Cloud - also auf fremden Internet-Servern - deponiert werden, gibt es auch Passwort-Dienste. Diese bieten also an, die eigenen Passwörter für den Online-Zugriff ständig parat haben zu können. Das ist freilich die denkbar dümmste Methode, seine Passwörter zu speichern. Jedenfalls aus Warte des Users. Für jene, die sich dafür interessieren, ist das eine großartige Innovation.

Simple Fingerabdruck-Sensoren für Zugang leicht zu überwinden

Viele Smartphones und sonstige Computer können auch durch den eigenen Fingerabdruck statt eines Passworts geschützt werden. Diese Fingerabdruck-Sensoren sind allerdings meist so simpel, sodass sie leicht ausgetrickst werden können. Schließlich sind auf dem Gehäuse des Smartphones ausreichend viele Fingerabdrücke von seinem Besitzer vorhanden. Diese können also abgenommen und recht simpel nachgebildet werden. Einfachere Fingerabdruck-Sensoren können leicht getäuscht werden.

Abgesehen davon, dass dafür der eigene Fingerabdruck irgendwie im Gerät gespeichert wird - und es wohl nicht unmöglich sein wird, diesen auch von außen auslesen zu können -, ist diese Methode zwar bequem, aber nicht sonderlich sicher.

Falls also die Daten mit Ihrem Fingerabdruck einmal in fremde Hände gelangt sind, ist das nicht mehr rückgängig zu machen. Sie können schließlich ihren eigenen Fingerabdruck nicht ändern; im Gegensatz zu einem Passwort. Das gilt selbstverständlich genauso für jede andere biometrische Erkennung. So also auch Gesichtserkennung, Irisscan etc. Wenn die Daten daraus in die fremde Hände gelangen, kann Ihre Identität nachgebildet werden.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Cookies können viel verraten

Cookies sind Datensätze, die ein Webserver für seine spätere Verwendung auf dem Computer des Besuchers hinterlässt. Beispiele, dafür, wie ein Cookie genutzt wird, sind das Merken von Zugangsdaten, persönlichen Daten, oder auch, um zu zählen, wie oft der jeweilige Besucher die betreffende Website besucht hat und was er sich dort angeschaut hat. Beim nächsten Besuch bekommt er dann entweder eine besondere Begrüßung, braucht seine Zugangskennung nicht mehr erneut eingeben oder bekommt gleich ein Angebot serviert, das sich daran orientiert was er zuletzt angeschaut hat.

Mit Cookies lässt sich eine ganze Menge an Komfort für den Besucher schaffen bzw. die Kommunikation mit ihm etwas individueller gestalten. Cookies als solche richten am Computer keinen Schaden an. Gefährlich können sie beispielsweise dann werden, wenn jemand anderer Zugang zum selben Computer bekommt, weil dieser dann als derjenige erkannt wird, der zuvor am Computer beispielsweise einen Internet-Händler besucht hatte. Und selbstverständlich kann auch das Nutzungsverhalten ausgespäht werden.

Beispiel: Sie sind an einem öffentlich zugänglichen PC und bestellen von dort aus etwas bei einem Händler. Sie geben also Ihre Zugangsdaten sowie ihre Kreditkartennummer etc. an. Wenn Sie bereits Kunde sind, genügt Ihr Login und Password. Damit Sie nicht immer wieder Ihr Password neu eingeben müssen, wird dieses in einem Cookie auf dem Rechner gespeichert. Sie machen Ihren Kauf und verlassen dann das Internet-Café. Der Nächste, der sich an denselben Rechner setzt, steigt zufällig - oder beabsichtigt - bei demselben Händler ein. Und siehe da, er wird - aufgrund des Cookies - als Sie identifiziert. Nun kann er fröhlich bestellen. Aus Sicht des Anbieters hat es dieser ja mit Ihnen zu tun. Sie würden dann also die Waren geliefert bekommen - und auch die Rechnung dazu.

Mittels Cookies kann auch das User-Verhalten ausspioniert werden, was typischerweise von Social Networks und anderen massiv betrieben wird. So verraten beispielsweise Cookies über welchen Weg man schließlich auf die Händler-Website gekommen ist, auf der man sich etwas anschaut. Und wenn man es angeschaut, aber nicht gekauft hat, kann eine Werbefirma dafür sorgen, dass man auch auf anderen Webseiten Werbung über genau dieses Produkt - das man sich angeschaut aber nicht gekauft hat - zeigen. Das eröffnet also ziemlich abenteuerliche Möglichkeiten, das Verhalten der Konsumenten auszuspähen.

Es kommt selbstverständlich darauf an, was in einem solchen Cookie gespeichert wird. Wenn es sich dabei nur um die gewählte Schriftgröße für eine Website handelt ist das etwa Anderes, als wenn die Historie der besuchten Seiten gespeichert ist. Grundsätzlich kann in Cookies praktisch alles gespeichert werden, was der Webbrowser ermitteln kann.

Im Webbrowser wird in der sogenannten History gespeichert, welche Webseiten Sie zuletzt besucht hatten. Dadurch können Sie mit dem Retour-Button jeweils sozusagen zurückblättern. Damit diese History nicht dazu missbraucht werden kann, die Aktivitäten des Users auszuspähen, ist das Auslesen der History über JavaScript nicht möglich. Es ist aber möglich, die Adresse der jeweils aktuellen Webseite in einem Cookie zu speichern und über diesen Umweg sehr wohl eine Sammlung der besuchten Webseiten anzulegen, die dann ungehindert ausgelesen werden kann. Davor gibt es keinen Schutz; außer das Löschen der Cookies.

Cookies sollten immer gelöscht werden. Vermeiden Sie generell den Zugang zu geschlossenen Diensten bei denen Sie identifiziert werden über fremde Rechner. Oder vergewissern Sie sich vorher, wie die Cookies nachher wieder gelöscht werden können.

Die Zeiten, in denen man noch so naiv war, sich darüber zu freuen, wenn man auf einer Website - ohne sich einzuloggen - mit Namen angesprochen wird, sind längst vorbei. Das findet heute niemand mehr lustig.

Cookies komplett abzuschalten kann das Websurfen recht umständlich machen. Jedenfalls sollten die Cookies gelegentlich gelöscht werden oder zumindest der Webbrowser so eingestellt werden, dass Cookies am Ende jeder Sitzung gelöscht werden.

Unter praktiker.at wird nur ein Cookie für die individuelle Einstellung der Schriftgröße verwendet. Dieses ermöglicht keine Nachforschungen: Es enthält nur die gewählte Schriftgröße und das Ablaufdatum des Cookies. Dieses Cookie wird dazu verwendet, damit die einmal eingestellte Schriftgröße dann bei jeder aufgerufenen Seite unter praktiker.at "mitgenommen" wird. Das Cookie wird also nur vom Webbrowser des Besuchers genutzt.

Demo-Zugang überschreibt mitunter persönliche Zugangsdaten

Falls es sich nicht vermeiden lassen sollte, dass Sie über einen fremden Rechner auf einen geschlossenen Dienst zugreifen, so gibt es einen einfachen Trick der mitunter hilft: Nachdem Sie sich ausgeloggt haben, loggen Sie sich nochmals ein mit den Zugangsdaten für einen Demo-Zugang. Einen Demo-Zugang gibt es u.a. für Electronic Banking, damit sich Interessenten anhand eines Musterkontos anschauen können, wie das funktioniert. Da mitunter nur die zuletzt eingegebenen Zugangsdaten gespeichert werden, bleiben dann die Zugangsdaten für den Demo-Zugang gespeichert, mit dem freilich nichts angerichtet werden kann. Diese Methode sollten Sie auch dann wählen, wenn Sie alle Cookies löschen konnten. Je nach Webbrowser werden nämlich Zugangsdaten für Automatisches Login in einer anderen Datenbank gespeichert, die Sie vielleicht nicht löschen können. Wenn Sie also einen geschlossenen Dienst verwenden, erkundigen Sie sich immer auch nach den Zugangsdaten für einen Demo-Zugang.

Empfehlungs-Button "Gefällt mir" verfolgt Verhalten über Cookies

Das Social Network "Facebook" ermittelt Surfverhalten zur Erstellung von Dossiers zu einzelnen Personen. Dies passiert durch Aufrufen einer Webseite auf der der Standard-Programmcode für den Facebook-Empfehlungs-Button "Gefällt mir" platziert ist. Dieser ist auf zahlreichen Websites eingesetzt, damit die Besucher der Website deren Inhalte bei Facebook weiterempfehlen. Die User-Daten werden dafür in einem Cookie gespeichert und von Facebook übernommen. Bekannt geworden ist es von Facebook, dass Ähnliches bei ähnlichen "Komfort-Funktionen" passieren könnte, wäre freilich nicht überraschend.

Empfehlungen bestimmter Inhalte sollten besser generell direkt über den jeweiligen Dienst erfolgen und von Betreibern von Websites auf "User-Komfort" mit solchen Nebeneffekten verzichtet werden. In diesem Beispiel wäre das durch Empfehlungsabgabe über die Funktionen der eigenen Facebook-Seite. Das Copy-and-Paste eines Weblinks - zumeist als "Permalink" bezeichnet sowieso bei den jeweiligen Inhalten angegeben - ist ja nicht wirklich schwierig. Mehr nimmt ja eine solche automatische Empfehlungs-Funktion (z.B. "Gefällt mir") als einzigen Nutzen für den Besucher der Webseite nicht an Arbeit ab.

[!> Im konkreten Fall der Facebook-Empfehlung wird der dafür vorgesehene Standard-Code auf der Webseite auch dann aktiv - und das Cookie für Facebook erstellt -, wenn der "Gefällt mir"-Button nicht gedrückt wird und es ist auch egal ob der Besucher selbst Nutzer von Facebook ist oder nicht.

Die "Gefällt mir"-Funktion von Facebook wurde im August 2011 stark in den Medien - allerdings kaum von Internet-Medien (!) - thematisiert, da in einem deutschen Bundesland (Schleswig-Holstein) der Einsatz des "Gefällt mir"-Buttons auf Websites per Anfang September 2011 gesetzlich verboten wurde (Strafe bis 50.000 EUR).

Für den Betreiber einer Website bringen solche Empfehlungs-Buttons der Social Networks ausschließlich Vorteile, nämlich die Chance auf zusätzliche Besucher, weil solcherart das Abgeben einer Empfehlung stark erleichtert ist. Viele Politiker nutzen diese auch selbst auf ihren eigenen Websites oder Blogs.

Das Interesse, sich da für die Einhaltung der Gesetze zur Privatsphäre einzusetzen hält sich offenbar deswegen - jedenfalls vorerst - in engen Grenzen. Social Networks haben sich als großartiges Medium für politische Propaganda herausgestellt; auch für die etablierten politischen Parteien.

Manche Webbrowser bieten die Möglichkeit, Cookies für einzelne Websites (URLs) zu sperren. Also beispielsweise "facebook.com", wodurch allerdings für Facebook-Nutzer die normale Nutzung von Facebook dann auch schwierig wird.

Hintergründe und Technik zum Einsatz von Cookies

Wozu Cookies überhaupt gebraucht werden

Cookies sind nötig, wenn Informationen von einer Seite zu einer anderen Seite der selben Website mitgenommen werden sollen. Das funktioniert dann nicht nur während des aktuellen Besuchs einer Website, sondern auch zu einem späteren Zeitpunkt - so lange das Cookie exisitert.

Beispiel: Sie rufen eine Seite von praktiker.at auf und nehmen eine Änderung für die Darstellung - Schriftgröße oder Gerätetyp-Vorgabe - vor. Dazu wird kein Cookie gebraucht. So lange Sie auf der selben Seite sind, stehen diese individuellen Einstellungen in Javascript-Variablen zur Verfügung. Das Problem ist nur, dass diese Javascript-Variablen, in denen diese Informationen verfügbar sind, bei Aufruf jeder Seite neu erstellt werden. Wenn Sie also eine andere Seite von praktiker.at aufrufen, dann steht diese Information nicht mehr zur Verfügung und Sie müssten dann also neuerlich die Einstellungen vornehmen. Um diese Einstellungen bei einer anderen Seite der selben Website mitnehmen zu können, wird also bei Ändern der Einstellungen ein Cookie erstellt und bei Aufruf einer anderen Seite der selben Website wird abgefragt ob dieses Cookie vorhanden ist und wenn ja, dann werden die Informationen ausgelesen und angewandt.

Es gibt grundsätzlich zwar auch die Möglichkeit, solche Informationen zu übergeben, indem eine Seite dann mit Parametern aufgerufen wird, mit denen diese Informationen übergeben werden. Das ist allerdings höchst umständlich. Cookies sind dafür die sauberere Lösung.

Heikel wird der Einsatz von Cookies dann - und deswegen ist der Gesetzgeber darauf so scharf -, wenn in Cookies Informationen darüber gespeichert werden, was Sie auf der Website aufrufen. Oder Ihrer persönlichen Daten. Aber auch ohne persönliche Daten ist es hilfreich, wenn ein Shop beispielsweise weiß, dass Sie wieder derjenige sind, der sich zuletzt Küchenherde angeschaut hat - und welche. Oder mit welchen Suchbegriffen man gesucht hat.

Was an Cookies so heikel ist und der Gesetzgeber einen Hinweis auf Einsatz von Cookies verlangt

Auf vielen Websites erhalten Sie eine Standard-Mitteilung, in der Sie bestätigen müssen, dass Sie mit dem Einsatz von Cookies einverstanden sind. Der Grund dafür ist, dass der Gesetzgeber dieses Einverständnis verlangt.

Unter praktiker.at gibt es diese Standard-Mitteilung über den Einsatz von Cookies nicht. Der Grund dafür ist, dass automatisch keine Cookies erstellt werden. Ein Cookie wird nur durch Ihre Anforderung erstellt. Also entweder irgendwelche speziellen Einstellungen zur Darstellung im Browser oder sonstige Funktionen, für die das nötig ist und wobei sowieso ausdrücklich darauf hingewiesen wird.

Cookies von Drittanbietern ermöglichen die großen Datensammlungen

"Cookies von Drittanbietern" sind dann Cookies, die von jemandem erstellt werden, dessen Website man garnicht direkt aufgerufen hat. Diese Drittanbieter ruft man indirekt auf, weil von diesem Daten auf der Seite eingebunden sind, die man eigentlich aufgerufen hatte. Das sind dann beispielsweise Anbieter von Werbeeinschaltungen oder Social-Media-Netzwerke. Im Grunde kann nur eine aufgerufene Website ein Cookie erstellen oder sonstwie ausforschen, was Sie gerade tun. Der Werbeanbieter xy kann also durch den Werbebanner, der zu seinem Server verlinkt ist sehen, dass Sie sich gerade die Seite x bei der Online-Zeitung y anschauen. Und weiß dann beispielsweise, welchen Artikel Sie dort gelesen haben. Und wenn der selbe Anbieter dann auch bei anderen Online-Zeitungen Werbebanner ausliefert, dann bekommt er mit der Zeit einen recht guten Einblick darüber, wofür Sie sich interessieren. Dazu braucht man nicht unbedingt Cookies, aber Cookies können das zusätzlich erleichtern.

Bei vielen Webbrowsern kann man das Anlegen von Cookies abschalten. Bei einigen Webbrowsern kann man das Anlegen von "Cookies von Drittanbietern" abschalten. Das sind also dann Cookies von Websites, die lediglich von der aufgerufenen Website verlinkt sind. Es ist empfehlenswert, "Cookies von Drittanbietern" abzuschalten. In der Regel hätte man von diesen keine Komfort-Vorteile. Wenn man Cookies generell abschaltet, könnte es evtl. etwas umständlicher werden, weil man Daten dann immer wieder von Neuem eingeben muss. Man kann beispielsweise Cookies generell abschalten und nur dann einschalten, wenn man gerade etwas braucht, das nur in Verbindung mit Cookies funktioniert.

Ablaufdatum und Löschen von Cookies: Browser steuert Verwaltung von Cookies

Das Ablaufdatum eines Cookies ist ein Parameter, der bei Erstellen oder Ändern eines Cookies angegegeben werden muss. Die Handhabung der Cookies wird über den Webbrowser gesteuert, weil dieser dafür eine Datei erstellt. Dies kann über JavaScript von einer Website quasi nur "erbeten" werden.

Es ist daher auch genaugenommen nicht möglich, per JavaScript ein Cookie zu löschen. Der Grund dafür: JavaScript kann nur innerhalb der eigenen Seiten innerhalb des Browserfensters agieren, ein Cookie wird aber sonstwo am Computer vom Browser gespeichert.

Aus Sicherheitsgründen hat Javascript als äußerste Grenze der Bewegungsfreiheit das Browserfenster und was innerhalb dieses Browserfensters passiert. Eine zusätzliche Grenze ist das HTML-Dokument - die Webseite - von dem aus das Javascript gestartet worden ist. Gibt es innerhalb des selben Browserfensters weitere HTML-Dokumente - beispielsweise in Frames oder iFrames -, dann darf Javascript auf diese HTML-Dokumente nur dann zugreifen, wenn sie am selben Server liegen und es sich dabei eben um "eigene" Seiten handelt. Erst recht nicht möglich ist daher mit Javascript das Speichern oder Lesen von Dateien am Computer des Besuchers der Website.

So passiert auch das Speichern und Lesen von Cookies nur auf Anforderung an den Browser.

Auch das Löschen eines Cookies funktioniert daher nur indirekt: Dazu wird das Ablaufdatum des Cookies auf ein zurückliegendes Ablaufdatum geändert. Nachdem das Cookie geändert wurde, erkennt der Browser das neue Ablaufdatum. Nun erkennt der Browser, dass das Cookie schon abgelaufen ist und löscht es daher sofort.

Wenn Sie bei Ihrem Webbrowser die Verwendung von Cookies abgeschaltet haben, werden generell keine Cookies erstellt und daher funktioniert in diesem Fall auch nichts, wofür Cookies erforderlich sind.

Empfehlung: Löschen aller Cookies bei Schließen des Webbrowsers einschalten

"praktiker" empfiehlt, den Webbrowser generell so einzustellen, sodass

Sie müssen dann zwar jedesmal, nachdem Sie den Webbrowser neu gestartet haben alle evtl. Einstellungen über Cookies neu vornehmen, aber viele Websites und Werbefirmen sammeln ja bekanntlich Daten zum Nutzerverhalten, was vielleicht nicht so sehr erwünscht ist.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Ein sehr häufiger Trick in E-Mails und auch auf unseriösen Websites ist es, dass ein dort angebotener Link nicht tatsächlich dort hin führt, was der Text des Links erwarten ließe. Eine solche Fälschung ist sehr simpel zu erkennen: Schauen Sie sich an, wohin der Link tatsächlich führt, bevor Sie ihn anwählen. Die meisten E-Mail-Clients und Webbrowser zeigen in einem Fenster den tatsächlichen Link an, wenn der Mauszeiger über der Schaltfläche für den Link steht.

Probieren Sie evtl. aus, welches Ziel nachfolgender Link tatsächlich hat (Auflösung: Es ist www.praktiker.at/news - also der ITM Newsroom statt der eigentlich angezeigten Startseite - und daher völlig harmlos, es ginge aber genauso mit jeder beliebigen anderen Webadresse)

Beispiel für gefälschten Link: http://www.praktiker.at

Nicht so leicht zu erkennen ist das falsche Ziel, wenn unter title= in der Link-Definition das falsche Ziel wiederholt wird. Bei manchen Webbrowsern oder E-Mail-Clients wird bei folgendem Beispiel auch über das Hinweisfenster bei Drüberfahren mit der Maus das falsche Ziel des Links angezeigt.

Beispiel für subtiler gefälschten Link: http://www.praktiker.at

Wenn Ihnen die Funktion resp. das Ziel eines Links nicht klar erscheint, dann geben Sie lieber den betreffenden Link händisch bei Ihrem Webbrowser ein und nehmen Sie für diese höhere Sicherheit evtl. in Kauf, mehrmals herumklicken oder Passwörter eingeben zu müssen, bis Sie beim gewünschten Ziel ankommen.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Gefälschte Web-Seiten, PIN-Abfrage

Überall dort, wo Geld transferiert wird, gibt es Leute, die versuchen, an dieses heranzukommen. Im elektronischen Geldverkehr funktioniert die Absicherung von Geldtransaktionen in der Regel über PINs und TANs. Ziel von Kriminellen ist es daher, an diese Codes heranzukommen.

Eine beliebte Methode beispielsweise zum PIN-Code Ihrer Bankomatkarte zu kommen ist es, bei Bankomaten eine Tastatur über die echte Tastatur des Bankomaten zu kleben und ein Lesegerät am Einsteckschlitz für die Bankomatkarte zu montieren: Sie stecken die Karte ein, wobei die Daten des Magnetstreifens auch vom montierten Lesegerät eingelesen werden. Dann tippen Sie über die falsche Tastatur Ihren PIN-Code ein und die Kriminellen haben solcherart alles, was Sie für die Herstellung eines Duplikats Ihrer Bankomatkarte brauchen sowie den dazupassenden PIN-Code. Ganz abgesehen davon, dass der PIN-Code sich aus den Informationen des Magnetstreifen der Bankomatkarte errechnen lässt. Ansonsten könnten Offline-Bankomatkassen ja nicht funktionieren.

Im Internet gibt es mit ähnlichem Ziel in der Hauptsache zwei Methoden:

Eine gewisse Sicherheit bei Eingaben auf gefälschen Webseiten, über die Passwörter und dgl. ausspioniert werden bringt es, wenn Sie zuerst ein falsches Passwort eingeben. Wenn das System nicht erkennt, dass das Passwort falsch ist, dann sind Sie auf einer gefälschten Seite. Diese simple Methode ist allerdings auch nicht wirklich sicher, weil der Betreiber der gefälschten Webseite parallel die von Ihnen eingegebenen Daten an die echte Website weiterreichen könnte und solcherart eine falsche Eingabe sehr wohl erkennbar wäre.

Ein weit verbreiteter Tipp ist es, darauf zu achten, ob der Browser ein Schlüssel-Symbol zeigt. Dies sagt freilich nichts aus, weil auch zu einer gefälschten Seite eine verschlüsselte Verbindung aufgebaut sein kann.

Das System beim Umgang mit PINs und TANs zur Absicherung von Geld-Transaktionen ist aus Warte der Bank oder eines ähnlichen Dienstleisters bestmöglich gesichert: Die Codes werden per SMS - früher per Post, was freilich noch sicherer war. Die Codes kennt lediglich das Computersystem der Bank und der Bankkunde. Also außer dem Bankkunden kennt diese kein Mensch. Falls also jemand Unbefugter an diese Codes herankommt - mit denen dann Geldtransaktionen gemacht werden können - liegt die Schuld grundsätzlich beim Bankkunden, der diese weitergegeben hat. Falls jemand erfolgreich das System der Bank geknackt hat und damit an Ihr Konto herangekommen ist, dann ist es die Schuld der Bank. In allen anderen Fällen liegt aber die Schuld beim Bankkunden.

Wenn Sie also auf einen Betrug hereinfallen und dabei Ihren Kontozugang verraten, dann ist es das selbe, wie wenn ein vorgeblicher Gaskassier zu Ihnen an die Wohnungstür kommt und Sie ihm Geld geben ohne sich davon überzeugt zu haben, dass dieser echt ist. Dann kann freilich auch nicht das Gaswerk dafür haftbar gemacht werden. Wer sich hereinlegen lässt muss den Schaden tragen. - Passen Sie also gut auf.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Was Firewalls wirklich bringen können

Eine Firewall ("Feuermauer") ist eine Software, die den Inhalt eines Rechners oder eines Rechner-Verbunds gegenüber dem Rest eines Netzwerks abschirmt. Dieses Netz ist also beispielsweise das Internet, von dem ein Rechner oder das Lokale Netzwerk abgeschirmt werden sollen.

Eine Firewall kann mehrere Funktionen erfüllen. So kann sie Inhalte, in denen bestimmte Zeichenketten - Wörter - gefunden werden sowohl abgehend als auch ankommend abblocken. Will beispielsweise eine Firma nicht, dass ihre Mitarbeiter während der Arbeitszeit Web-Angebote mit eindeutig privatem Charakter anschauen, dann kann dies auch eine Firewall erledigen. Eine Firewall kann beispielsweise das Herunterladen oder Hochladen bestimmter Dateitypen verhindern. Sie kann mitunter auch so konfiguriert werden, dass der Rechner für den Rest des Netzes unsichtbar bleibt. Die Konfiguration kann weitreichend individuell erfolgen; je nach Leistungsfähigkeit der Firewall.

Ein großes Problem bei Firewalls generell ist die Möglichkeit, diese "strenger" oder "toleranter" einzustellen hinsichtlich der Inhalte die abgeblockt werden sollen. Das verführt dazu, dass diese überhaupt irgendwann sinnlos wird. Beispielsweise will jemand eine Datei eines bestimmten Typs herunterladen und das funktioniert nicht. Wird also die betreffende Dateiart in der Firewall freigeschaltet. Beim nächsten Problem wird ein anderer Parameter der Firewall auf "gutmütiger" eingestellt. Nach wenigen Monaten handelt es sich dann nicht mehr um eine Firewall, sondern um einen Maschendrahtzaun.

Jenen, die für die Installation einer Firewall verantwortlich sind, sei daher ans Herz gelegt, deren Einstellungen gut zu durchdenken und dann nichts mehr daran zu verändern. Möglichst explizit nur das freigeben, was für den Betrieb notwendig ist. Das weiß freilich jeder in der Theorie. Aber auch in der Praxis sollte man es tun.

Jene, die sich mit den tieferen Funktionen einer Firewall näher befassen, sagen: Traue keiner Firewall, die du nicht selbst programmiert hast.

Es wäre naiv, zu glauben, dass es einem für eine mittelgroße oder kleine Firma oder einem Privaten gelingt, das Netz nach außen komplett abzuschirmen, wenn dies bekanntlich nicht einmal große Banken und staatliche Einrichtungen mit absoluter Sicherheit zusammenbringen.

Eine große Gefahr birgt eine Firewall auch: Das Sicherheitsgefühl, das wohl nicht wirklich berechtigt ist. Dadurch werden die Anwender unvorsichtiger, weil sie annehmen, dass sowieso alles geschützt wäre.

[!> Eine recht einfache Methode, mit der ein System etwas sicherer gemacht werden kann ist es, die Anzahl der Anwender mit erweiterten Rechten auf den notwendigen Kreis zu limitieren. Dann ist es deutlich schwieriger, dass ein Angreifer sich als zusätzlicher Anwender mit Sonderrechten einträgt.

Das Recht zum Ausspionieren von Daten in fremden Rechnern - also auch Intranets - nehmen sich Geheimdienste heraus und lassen sich einige Teile der Industrie - beispielsweise Musikindustrie und Softwarehersteller - in zunehmendem Maße durch für sie maßgeschneiderte Gesetze sichern. Sie agieren dann von jenen Ländern aus, in denen ihnen das erlaubt ist oder wo das zumindest nicht ernsthaft verfolgt wird.

Also: In Wirklichkeit die beste Lösung ist es, auf das Internet ausschließlich mit einem vom Netz separierten Rechner zuzugreifen. Das ist freilich höchst unpraktisch. Aber es ist die einzige Garantie dafür, dass niemand in ein lokales Netzwerk oder auf einen Rechner zugreifen kann, auf dem Daten enthalten sind, die man nicht unbedingt öffentlich aushängen möchte.

Beachten Sie in diesem Zusammenhang auch, dass eine Funk-Schnittstelle wie WLAN oder Bluetooth, die nicht elektrisch abgeschaltet oder abgesteckt werden kann dasselbe ist wie wenn Sie Ihre Netzwerkkabel beim Fenster hinaushängen lassen und sich dort jeder seinen Computer anstecken kann. Es ist wie eine Kabelverbindung zu anderen Rechnern (in Reichweite), die ebenfalls mit einer solchen Funk-Schnittstelle ausgestattet sind.

"Absolute Sicherheit" ist niemals möglich, sofern irgendeine Verbindung besteht. Egal, ob sie galvanisch oder induktiv ermöglicht ist. Egal, ob der Netzwerkadapter gerade - via Software - abgeschaltet ist oder nicht. Über Software ist das Einschalten selbstverständlich von außen möglich. Die Stromversorgung für einen externen Adapter einzuschalten oder diesen am Computer anzustecken eher nicht.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Dynamische IP-Adresse ist sicherer

Eine gewisse Sicherheit vor Eindringlingen gibt auch eine dynamische IP-Adresse. Jeder Rechner, der mit dem Internet verbunden ist, wird über eine IP-Adresse identifiziert. Dabei gibt es statische IP-Adressen und dynamische IP-Adressen. Eine dynamische IP-Adresse bekommt man bei jeder neuerlichen Verbindung nur für die Dauer der Verbindung zugewiesen. Es ist also immer eine andere IP-Adresse, über die man mit dem Internet verbunden ist. Bei einer statischen IP-Adresse ist diese immer dieselbe.

Die dynamische IP-Adresse ist eigentlich nur für jenen möglich, der sich immer nur für einen bestimmten Zeitraum in das Internet einklinkt. Beispielsweise über eine Modemverbindung. Jemand, der eine Standleitung zum Internet hat, hat in der Regel immer dieselbe IP-Adresse.

Wenn es also jemand darauf anlegt, Daten auszuspionieren, tut er sich leichter, wenn das Ziel des Angriffs erstens ständig oder jeweils über lange Zeiträume hinweg mit dem Internet verbunden ist und / oder jeweils über dieselbe IP-Adresse gefunden werden kann. Wer sich nur jeweils für wenige Sekunden oder Minuten mit jeweils einer anderen IP-Adresse in das Internet einloggt, hat gute Chancen nicht rechtzeitig gefunden zu werden.

Die dynamische IP-Adresse macht es nur jenen schwieriger, die gezielt in das System einer bestimmtem Person oder Firma eindringen wollen. Viren oder Macroviren können dabei genauso gut auf den Rechner gelangen. Durch Herunterladen eines infizierten Programms oder eines infizierten Dokuments.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Viren und Macro-Viren

Die Gefahren, die von Computerviren ausgehen können, dürften wohlbekannt sein. Es gibt dabei grundsätzlich zwei verschiedene Klassen und eine Unterklasse.

Die einen sind die klassischen Viren, die in einem Programm enthalten sind. Sobald dieses Programm aufgerufen wird, beginnt der Virus zu leben. Eine Unterklasse davon kann dann sein, dass er nicht sofort destruktiv aktiv wird, sondern einen bestimmten Zustand abwartet. Beispielsweise ein bestimmtes Datum oder Uhrzeit.

Macoviren sind das, was die vielen Automatismen in Anwendungen bescheren können. Diese Viren werden nicht in Programmen transportiert, sondern in Dokumenten, die ein Macro enthalten. Ein Macro ist freilich im Prinzip auch ein Programm, das lediglich einen Interpreter erfordert. Beispielsweise kann man in einem Textdokument ein Macro unterbringen, das nach Aufrufen des Dokuments eine bestimmte Aktivität setzt. Beispielsweise bei MS-Word kann diese Macrosprache bis auf Systemebene hinunterwirken. Das Formatieren der Harddisk wäre also durch ein Macro in einem Textdokument möglich.

Beispielsweise der E-Mail-Client von MS-Outlook erlaubt u.a. folgende Automatik: Zwei Leute wollen einen Termin miteinander vereinbaren. Also schickt der eine dem anderen ein E-Mail mit einer Terminanfrage. Sobald das E-Mail beim anderen einlangt, wird es automatisch geöffnet. Dadurch wird das mitgelieferte Macro gestartet. Dieses "schaut" im Terminkalender "nach" und berichtet zurück, dass der Termin prinzipiell frei wäre und hinterlässt für den Empfänger eine entsprechende Nachricht, dass er jetzt entweder einen bereits fix vereinbarten Termin hat oder diesen noch bestätigen soll. Das ist alles sehr bequem und in Wirklichkeit phantastisch. Nur die Praxis schaut halt leider so aus, dass man mit einem solchen Macro nicht nur erwünschte Aktivitäten auslöst, sondern auch kriminellen Programmierern ein weites Betätigungsfeld bietet.

Eine der beliebten Nutzungen von MS-Outlook ist beispielsweise: Suche das zuletzt bearbeitete MS-Word-Dokument und sende es per E-Mail an die ersten fünfzig Adressen in der Adressdatenbank.

Wem seine Daten lieb sind, der sollte also weder die Allerwelts-Anwendungen verwenden, mit deren Vorhandensein die meisten subversiven Programmierer rechnen. Und er sollte auf jede Art von Automatismen verzichten, die nicht wirklich wichtig sind. Es ist freilich sehr schade, dass man von den eigentlich schönen Ideen, die hier in Anwendungen umgesetzt wurden, nichts hat.

Virenscanner können freilich nur bekannte Viren erkennen und auch nur bekannte Macroviren. Die Erkennung neuer Virenarten ist nicht zuverlässig möglich. Man hat mit einem Virenscanner aber jedenfalls die weitestgehende Sicherheit, nicht einen bereits bekannten Virus einzufangen. Viren, die von Geheimdiensten verbreitet werden - die typischerweise Daten ausspionieren -, werden von Virenscannern - vor allem US-amerikanischer Provenienz - nicht verlässlich gemeldet.

Wichtig ist, dass Viren bekanntlich auch über Datenträger transportiert werden können. Es hilft dann also wenig, dass das Firmen-Netzwerk vom Internet getrennt ist, wenn man Programme aus dem Internet herunterlädt, diese letztlich vielleicht den direkt mit dem Internet verbundenen Rechner verseuchen und einen Virus dann über einen Datenträger übertragen, mit dem man "sicher" seine Daten von seinem separierten Internet-Rechner in das lokale Netzwerk einspielen will.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

So kommen Viren in den Rechner

Zusammenfassend gibt es in der Hauptsache drei Wege, wie Viren in den Rechner bzw. in ein lokales Netzwerk kommen können:

==> Strategien gegen Spam und Trickbetrug via E-Mail

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

E-Mails sind "vertraulich" wie öffentliche Kundmachung

E-Mails sind öffentlich zugängliche Mitteilungen, die an eine oder mehrere Personen gezielt versandt werden. Jedes unverschlüsselt versandte E-Mail kann also auf seinem Transportweg abgefangen und gelesen werden. Es ist davon auszugehen, dass das passiert.

Geheimdienste scannen E-Mails nach Reizwörtern ab, wobei es für diese egal ist, wenn das E-Mail nach einem der bekannten Verschlüsselungsverfahren verschlüsselt ist. Bekannt sind alle Verschlüsselungsverfahren, die nicht privat - beispielsweise von Ihnen selbst - entwickelt worden sind. Also alles, was über Web-Anwendungen oder beispielsweise für Virtual Private Networks (VPN) bereitgestellt wird. Wenn Sie beruflich geheime Daten transportieren wollen denken Sie daran, dass manche Geheimdienste vielleicht Ihrer Konkurrenz brisante Informationen über Ihre Firmeninterna zuspielen könnten. Je interessanter diese sind, desto höher ist die Wahrscheinlichkeit dafür. Das gilt für jegliche Übertragung auf elektronischem Weg. Geheimdienste haben auch Zugriff auf Telekommunikationsdaten - also auch alles von Telefonie bis Fax.

Jene Firmen, die uns das Internet als Transportweg für alle Informationen - inklusive "Intranet-Tunnel" (VPN Virtual Private Network) - anpreisen, transportieren eigene sehr heikle Unterlagen bevorzugt mit einem - oder gleichzeitig mehreren - eigenen Boten, die auf absolute Vertrauenswürdigkeit überprüft sind. Also ohne jegliche Kommunikationstechnik. Nicht einmal per Post oder eine andere fremde Firma.

Geheimdienste arbeiten unauffällig - daran hat sich nichts geändert

Die hauptsächliche Eigenschaft von Geheimdiensten ist freilich weiterhin, dass sie nicht erzählen, was sie können und was sie tun. Daran hat sich auch nichts geändert seitdem Einiges von Edward Snowden öffentlich gemacht worden ist. Beispielsweise Software - insbesonders Betriebssysteme - können Aktionen setzen, ohne dass das irgendwie erkennbar sein muss. Vor einigen Jahren ist es einmal bekanntgeworden, dass Virensoftware zwar alles schön blockiert, aber den Schadcode von Geheimdiensten ohne Meldung durchlässt.

Softwarehersteller werden evtl. dazu gezwungen solche Features einzubauen, gewisse Aktivitäten am Computer zu verschleiern und gewisse Daten abzusaugen. Wie alle, die einem Geheimdienst zuarbeiten (müssen) gehört es auch dazu, dass das geheim gehalten werden muss.

Gehen Sie nicht davon aus, dass Sie eine Möglichkeit haben, solche Umtriebe abzublocken. Jedenfalls jene von Geheimdiensten; von Privatfirmen wird es mit einigem Können vielleicht gelingen. Beispielsweise die weit verbreitete Idee, durch Verschlüsselung irgendwas ultimativ geheim halten zu können ist freilich naiv.

Privat bleiben nur jene Daten, zu denen es keinen Zugang über das Internet gibt und jene Gespräche, die - also nicht über elektronische Wege - persönlich geführt werden. So einfach ist das.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Software, Geräte mit "Heimweh"

Eine Randerscheinung im Zusammenhang mit den Möglichkeiten des Internet ist das sogenannte "Heimweh" ("calling home") mancher Anwendungen.

Im Prinzip geht es dabei darum, dass die Anwendung Daten vom Rechner des Anwenders sammelt und diese bei bestehender Verbindung zum Internet an den Hersteller der Software übermittelt. Daher, dass die Software immer wieder Kontakt zu ihrem Hersteller aufnimmt, kommt auch die Bezeichnung "Heimweh". In der schlimmsten Form werden dabei die Tastatureingaben des Anwenders und alle seine Aktivitäten mitgeschrieben, gesammelt und dann übermittelt.

Das passiert aber nicht nur bei Computern, sondern auch Smartphones, Spielkonsolen, Navigationsgeräten und Fernsehern. Ob es auch getan wird, hängt von der Anständigkeit des Hardware- oder Softwareherstellers ab - resp. ob dieser dazu genötigt wird, das zu tun. Es ist aber im Prinzip jedem mit einschlägigem Wissen möglich, die Daten aus einem mit dem Internet verbundenen Gerät auszulesen.

Es ist aber auch schon bekannt geworden, dass so manches mit dem PC verbundenes Gerät Nutzungsdaten an den Hersteller liefert. Der Hersteller bekommt dadurch beispielsweise eine recht klare Vorstellung davon, wie viel mit einem Drucker gedruckt wird, welches Papier verwendet wird, welche Tintenpatronen wie schnell verbraucht werden, wie oft diese gereinigt werden, welche Farbe in einer Tintenpatrone als Erste erschöpft ist, welche Art von Daten gedruckt werden, über welche Schnittstelle der Drucker mit dem PC verbunden ist, zu welchen Tageszeiten, an welchen Wochentagen, Jahreszeit welche Art von Daten gedruckt werden etc. Das spart teure, vergleichsweise ungenaue Marktforschungen und die Übertragungskosten trägt sowieso der Benutzer. Derartige Funktionen werden vom Benutzer durch entsprechende Passagen in enorm umfangreichen Nutzungsbedingungen erlaubt. Lesen Sie sich daher die Nutzungsbedingungen zu jedem Gerät und jeder Software genau durch.

Es gibt aber auch eine abgeschwächte Form davon, die zumindest lästig ist: Ständig fordert irgendeine Anwendung dazu auf, die aktuelle Version oder ein benötigtes Modul aus dem Internet herunterzuladen. Manche Programme machen das automatisch, sobald eine Verbindung mit dem Internet besteht. Solche "Dienste" führen Bezeichnungen wie "Live Update" oder ähnlich. Solche Funktionen sollten immer ausgeschaltet werden. Man sollte wohl immer selbst entscheiden, ob man ein Update haben will oder nicht. Oft gehen solche Updates einher mit Aufforderung zur Bekanntgabe persönlicher Daten.

"praktiker" empfiehlt, Anwendungen, die Anstalten machen, die Gewalt über den Rechner und den Datenaustausch im Internet zu übernehmen zu meiden. Leider wird das schon eher zur Regel. So ist es beispielsweise vermeidbar, Navigation mit jeweils aktuellen Informationen zur Verkehrslage zu verwenden. Möglicherweise ist man dann länger unterwegs, aber eine autark ablaufende Navigationssoftware bietet nicht die Möglichkeit, Bewegungsdaten an die Polizei weiterzuverkaufen. Dass TomTom das zumindest in den Niederlanden tut, wurde beispielsweise im April 2011 bekannt.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Bevorzugte Ziele für Viren

Bei der Analyse, welche Anwendungen und Betriebssysteme als Ziele für Viren-Programmierer und Versender von Viren und Macro-Viren dienen, muss man zwangsläufig Benutzer von Microsoft-Produkten als Hauptziel erkennen.

Nahezu alle Viren zielen auf MS Windows, Macro-Viren nutzen die hauptsächlich von Microsoft-Produkten genutzten Funktionen. Für das Einschleusen von Viren über das Internet werden immer wieder Sicherheitslücken des Internet-Explorer genutzt.

Der Hauptgrund dafür dürfte wohl darin liegen, dass sowohl Windows als Betriebssystem als auch die Microsoft-Anwendungen von der überwiegenden Mehrheit der Benutzer verwendet werden. Das Aussetzen von Viren oder Macro-Viren welche auf diese Anwendungen und Betriebssysteme zielen, erbringt also die höchste "Treffer-Quote".

Etwas sicherer sind jene, die weniger populäre E-Mail-Clients und Web-Browser verwenden.

Für das Öffnen von Dokumenten in Microsoft-Formaten ist es empfehlenswert, die dafür von Microsoft zum kostenlosen Herunterladen angebotenen Viewer zu MS-Word, MS-Excel und MS-PowerPoint zu verwenden. Mit diesen kann man die Dokumente betrachten, aber - mitunter gefährliche - Macros werden dann nicht ausgeführt. Das ist also sicherer, als die Standard-Anwendungen von MS Office zum Öffnen von fremden Dokumenten zu verwenden.

Man muss also für die eigene Anwendung entscheiden, wo die Prioritäten liegen. Wenn man einen Rechner ausschließlich für den Zugang zum Internet verwendet und einen weiteren für sonstige Aktivitäten hat, dann könnte man beispielsweise den mit dem Internet verbundenen unter Linux betreiben oder dafür einen Mac verwenden.

Windows ist zwar in Wirklichkeit das am besten abgesicherte System, aber um Mac und Linux kümmert sich kaum jemand, weil die getroffene Zielgruppe ziemlich klein und daher nicht so sehr interessant ist. Windows hat eine Verbreitung von annähernd 90% und die Microsoft-Office-Produkte sind Standard in sehr vielen Firmen. Die weit verbreitete Ansicht, dass Microsoft-Produkte besonders unsicher wären, ist also falsch. Sie sind nur zu sehr stark verbreitet und daher sehr beliebte Angriffsziele.

==> Microsoft Windows (Desktop): Kostenlose Viewer, Player

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Windows: Erweiterungen bei bekannten Dateitypen ausblenden abschalten

Bei neueren Windows-Versionen ist eine Funktion vorerst aktiviert, die gefährlich werden könnte: Dateinamen-Erweiterungen von "bekannten" Dateitypen werden nicht angezeigt. Das bewirkt also beispielsweise, dass die Datei "Frohe Weihnachten.jpg" als "Frohe Weihnachten" angezeigt wird. Das schaut übersichtlicher aus und verwirrt Laien nicht so sehr.

Das wissen auch die Versender von Viren und schicken daher beispielsweise eine Datei namens Frohe Weihnachten.jpg.exe. Was passiert also: Die Datei wird angezeigt als "Frohe Weihnachten.jpg". Die eigentlich Dateinamen-Erweiterung "exe" wird wegen der Spezialfunktion unter Windows ausgeblendet. Der Anwender, der dann nicht daran denkt, dass diese Funktion eigentlich aktiviert ist und daher auch eine Endung wie "jpg" nicht angezeigt würde, klickt das vermeintliche Foto an und startet damit freilich ein Programm.

Abgeschaltet wird diese heikle Funktion im Windows Explorer unter Extras / Ordneroptionen / Ansicht / Erweiterungen bei bekannten Dateitypen ausblenden: [nicht auswählen].

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Ganz legale Spionage: erlaubt über Eula bei Installation

Ganz dumm ist es, das Ausspionieren der eigenen Daten am Computer explizit zu erlauben. Besonders bei Computern - resp. Computer-Software - funktioniert das Ausspionieren teilweise ganz legal insofern als das mit dem Bestätigen der Lizenzbestimmung vom Anwender erlaubt wird. Lesen Sie sich diese Lizenzbestimmungen - die jeweils bei der Installation von Software bestätigt werden müssen (Eula = End user licence agreement).

Achten Sie darauf, dass Andere auf Ihrem Computer keine Administratorrechte haben und solcherart keine Lizenzvereinbarung eingegangen werden kann, mit der Sie nicht einverstanden wären. Was Andere oder Ihre Kinder auf Ihrem Rechner machen, dafür sind Sie verantwortlich.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Google Analytics und andere Blockwart-Dienste auf Websites

Über viele Webseiten wird ein Dienst aufgerufen, der die Aktivitäten von Besuchern protokolliert und typischerweise zu Dossiers über einzelne Personen zusammenführt. Einer der größten Dienste - oder der größte überhaupt - auf diesem Gebiet ist Google Analytics. Der Nutzen für die Betreiber der jeweiligen Website liegt darin, dass dadurch statistische Daten über die Besucher einer Website generiert werden können. Dem Anbieter des Dienstes stehen dafür die von allen daran teilnehmenden Websites generierten Benutzerdaten zur Verfügung.

Das ist also prinizipiell so, wie wenn jemand ständig hinter Ihnen hergeht und im Detail notiert, was Sie machen und diese Informationen weiterleitet. Sowas gab es beispielsweise in der DDR und im Dritten Reich (Blockwarte). Früher war das auf staatliche Stellen beschränkt und diese Staaten werden heute zutreffender Weise als Verbrecherregime bezeichnet. Der Vorteil in der Freien Gesellschaft ist es, dass solche Dienste jeder betreiben und jeder nutzen kann, der das will. Heute darf Sie also jeder quasi als seinen Leibeigenen betrachten und ständig überwachen. Allgemein wird die Sache mit dem Datenschutz nicht wirklich wichtig genommen - sogar von den Betroffenen. In aller Regel jedenfalls.

In Deutschland hatte es Mitte 2011 großes Aufsehen gegeben als in einem Bundesland der Einsatz von Google Analytics auf Webseiten unter Strafe gestellt werden sollte, weil damit personenbezogene Daten gesammelt und auch weil diese in die USA weitergeleitet wurden. Google hatte dann im September 2011 Google Analytics - in Zusammenarbeit mit dem Datenschutzbeauftragten von Hamburg - diesen Dienst insofern abgeändert, als seitdem die IP-Adresse nur teilweise übermittelt wird und deshalb eine Zuordnung zu bestimmten Personen nicht mehr möglich sein soll.

Überwachungsfreundliche Regierungen stellen sich ganz offensichtlich blöd, wenn sie sich damit zufrieden geben, wenn die IP-Adresse nicht komplett übermittelt wird. Es ist längst bekannt, dass durch das Übereinstimmen mehrerer anderer Parameter eine eindeutige Zuordnung zu einer Person möglich ist. Deren Name ist dann auch nicht weit. Ob die IP-Adresse gesammelt wird oder nicht, ist dafür also völlig irrelevant. Es stellt sich wohl vielmehr die Frage, warum es gar keine Bestrebungen gibt, diese Verfolgungen generell zu verbieten. Es geht schließlich niemanden etwas an, was jemand tut. Egal ob vorgeblich anonym oder nicht anonym das Privatleben von Menschen ausgeforscht wird.

Von Google gibt es Add-ons resp. Plug-ins für die populärsten Webbrowser, mit denen - nach Aussage von Google - die Ausforschung von Besuchern von Websites durch Google Analytics unterbunden werden kann:

=>> tools.google.com/dlpage/gaoptout?hl=de

Anstatt, dass explizit einem solchen "Feature" zugestimmt werden muss, muss dieses also erst extra blockiert werden.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Scareware: Angst, Schrecken und mitunter Geldforderung

Eine spezielle Form von Schadsoftware ist Scareware - abgeleitet von "scare" (= erschrecken). Mit Scareware soll man durch falsche Systemwarnungen, Fehlermeldungen oder Falschmeldungen - beispielsweise von Virenbefall - entweder lediglich erschreckt oder auch zu einer Zahlung bewegt werden.

So wird beispielsweise eine amtlich erscheinende Meldung angezeigt, dass nicht registrierte Software verwendet wird oder urheberrechtlich geschütztes - oder verbotenes - Material auf der Harddisk gesichtet wurde und automatisch eine Anzeige erstellt wurde. Bei Bezahlung eines Betrages an ein - freilich - anonym geführtes Bankkonto wird von einer weiteren Verfolgung der Straftat abgesehen.

Oder beispielsweise auch ein manipulierter Virenscanner, der nach einem Scan eine größere Menge an gefundener Schadsoftware meldet. Für die Beseitigung der Schadsoftware muss man dann bezahlen. Nach der Bezahlung passiert lediglich nichts Anderes, als dasss die vorgeblich mit Schadsoftware befallenen Programme nicht mehr angezeigt werden - die Bereinigung des Systems war dann also "erfolgreich".

Oder der PC meldet den Befall von Schadsoftware oder einen Hacking-Angriff, was tatsächlich nicht zutrifft. Auch hier kann dann Bezahlung helfen wonach der vorgebliche Angriff gebannt sei.

Scareware simuliert also einen schwerwiegenden Fehler oder Gefahr. Dafür werden echt wirkende Fehlermeldungen oder amtlich erscheindende Warnungen angezeigt. Diese können auch mittels Animationen komplette - echt wirkende - Abläufe zeigen, die den Eindruck erwecken, dass ein Hacker gerade dabei ist, den Inhalt des PCs zu zerstören oder auszulesen.

Evtl. wird der Befall von Schadsoftware vorgetäuscht, über die zum jeweiligen Zeitpunkt umfangreicher in den Medien berichtet wird.

Häufig kommt Scareware vor in Verbindung mit dubioser Virenscanner-Software oder auch - wie auch sonst Schadsoftware - eingeschleust als Trojaner.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Clickjacking: Fremde Websites mit transparenter Klick-Falle

Clickjacking ist eine Betrugsmethode, bei der jemand innerhalb seiner Website fremde Inhalte in einem Frame zeigt, das oft nicht als solches erkennbar ist. Die Hinterlist dabei ist, dass dem Inhalt ein transparenter Layer übergelegt ist. Wenn man also auf der Webseite einen Link anwählt, dann wird eine andere Aktion ausgelöst als erwartet. Also beispielsweise irgendwas bestellt oder Schadsoftware auf den eigenen Rechner geladen etc.

Für Clickjacking werden also fremde Webseiten als Anziehungspunkt in eigene Seiten eingebunden. In der harmloseren Variante wird das "nur" dafür eingesetzt rund um die fremden Inhalte Werbung zu platzieren und solcherart Einnahmen ohne Mühe zu lukrieren. Oder solcherart ein attraktives Web-Angebot zusammenzustellen.

Als Nutzer sollte man daher Webseiten, die offensichtlich über eine fremde Domain angezeigt werden nicht verwenden. Im harmloseren Fall will sich jemand nur Mühe ersparen, selbst Inhalte zu schaffen, im schlimmeren Fall werden die fremden Inhalte als Grundlage verwendet um Schadsoftware zu verbreiten oder irgendwie an Ihr Geld zu kommen.

Wenn Sie selbst eine Website betreiben und Zugang zu den Servereinstellungen haben, dann können Sie Ihre Inhalte einigermaßen davor schützen, dass diese direkt innerhalb einer fremden Website angezeigt werden. Über nachfolgenden Link finden Sie bei Interesse einige Anregungen dazu.

==> .htaccess: Server-Konfiguration gegen Clickjacking und Foto-Verwendung

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Gesunde Portion Paranoia ist nicht falsch

Ein allzu lässiger Umgang mit dem Internet und die dadurch möglichen Gefahren für die eigenen Daten scheint angesichts der Probleme, die Einzelnen oder größeren Gruppen regelmäßig passieren, leichtfertig.

Betreffend sogenannte kostenlose Software: Es scheint keine gute Idee zu sein, für eine vergleichsweise kleine Gegenleistung - in der Regel Software oder E-Mail-Account - seine persönlichen Daten und Informationen über eigene Interessen herzugeben. Besser ist es immer, für jede Leistung direkt - in der Regel sowieso einen angemessenen Betrag - zu bezahlen. Das gilt für Informationen genauso wie für andere Leistungen. Entweder wird sonst die eigene Zeit über Gebühr beansprucht. Oder man bekommt eine Leistung, die auf die Interessen jener abgestimmt sind, die eigentlich dafür bezahlen. Was mit den bekanntgegebenen privaten Daten passiert, ist freilich nie klar.

In jedem Fall sollten Sie Ihre Daten regelmäßig sichern. Somit können sie zumindest vor Zerstörung bewahrt werden. Die Gefahr, dass die Daten ausspioniert werden ist dann aber weiterhin gegeben.

Jeder, der die Möglichkeiten der Technik auch nur einigermaßen durchblickt, kann es nicht übersehen, dass über das Internet in Verbindung mit Funk- und Drahtnetz-Kommunikation sowie den inzwischen enormen Datensammlungen auf Computersystemen ein tiefer Einblick in Firmeninterna und Privatleben möglich ist.

Auf jeden Rechner, der irgendwie über Funk oder Draht erreichbar ist, kann mit entsprechendem Wissen von außen zugegriffen werden. Für die bekannten Verschlüsselungssysteme gibt es entweder Generalschlüssel oder sie sind zumindest knackbar. Im Zuge der Veröffentlichungen auf Basis des von Edward Snowden bei der NSA gestohlenen Unterlagen wurde bekannt, dass sogar die extra starken Verschlüsselungen, die von Banken für Transaktionen verwendet werden, geknackt werden können. Die Verschlüsselung von einem Virtual Private Network, bei E-Mails oder von Webbrowsern sind wohl so transparent lesbar als wären sie nicht vorhanden.

Es gibt daher keine ultimative Vertraulichkeit für Daten, die über Funk oder Kabel von außen erreichbar sind. Und es gibt auch keine Sicherheit, dass die so erreichbaren Geräte von anderen genutzt werden. Beispielsweise Handys über die mit Hilfe von Funk-Schnittstellen mit entsprechendem Wissen eine Verbindung aufgebaut wird. Wenn von Kriminellen - das sind jene, die nicht das Privileg haben, in Ihren Daten zu stöbern - eine Lücke entdeckt wird, so wird diese geschlossen, muss aber logisch eine andere geöffnet werden, bis diese wiederum entdeckt wird etc.

[!] Auch ein theoretisch absolut sicheres Betriebssystem nützt nichts, sobald nur eine Anwendung oder Gerätetreiber mit einer Lücke installiert wird. Es ist also praktisch nicht möglich, einen Computer absolut sicher zu machen. Die einzige Möglichkeit ist, ihn nie mit der Außenwelt zu verbinden. Das ist freilich höchst unbequem.

Es geht freilich nicht darum, illegale Vorgänge zu verschleiern, sondern schlicht darum, dass es niemanden etwas angeht, was jemand tut so lange es keinen begründeten Verdacht auf Vorliegen einer Straftat gibt. Alles andere wurde uns ja jahrzehntelang als Unrecht dargestellt.

Bedenken Sie also auch diesen "Zusatznutzen" des Internet und allgemein der Technologien rund um Datenübertragung, -erfassung, -auswertung und -speicherung.

Das betrifft übrigens auch "intelligente" Geräte, von denen die meisten Nutzungsdaten für den Reparaturfall sammeln. Das ist freilich harmlos. Aber Sie sollten sich deshalb bei einer Service-Stelle lieber den Schmäh sparen, dass ein Gerät "nur ein paar Stunden" in Betrieb war ...

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Geschäft mit der Angst um die Sicherheit

In den letzten Jahren hat sich eine blühende Sicherheits-Industrie entwickelt. Ständig gibt es Sicherheits-Updates, ständig irgendwo Konferenzen, wo über die Sicherheit im Internet mit Schaudergeschichten Angst verbreitet wird.

Im Grunde ist das freilich das selbe, wie wenn Sie sich in ein Seuchengebiet begeben oder in ein Gebiet in dem ständig Raubüberfälle stattfinden. Und sich dann wundern, wenn Sie hauptsächlich damit beschäftigt sind, sich nicht anzustecken und die Räuber vom Hals zu halten.

Die eigentliche Lösung des Problems ist es freilich, den eigenen Rechner mit den wesentlichen Daten erst gar nicht in dieses gefährliche Gebiet zu bringen.

Das ist aber wiederum nicht im Sinne aller jener, die Ihnen zwar nichts wegnehmen oder zerstören wollen, die aber so gerne in ihren Daten herumstöbern wollen. Und die Ihnen auch gerne Ihre Freude an Ihren Intranet-Tunnels und sonstigen Verschlüsselungen lassen, weil sie dafür sowieso die Generalschlüssel haben. Deswegen wird diese - naheliegendste - Variante in der öffentlichen Diskussion zum Thema ausgeblendet.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Social Networks wie Facebook & Co. sind öffentlich

Mit Sendungen wie "Big Brother" wurde die Begeisterung zur schamlosen Offenbarung seiner Privatspähre für viele Leute erstrebenswert gemacht. Leute von Stasi und anderen Bespitzelungsdiensten ärgern sich grün und blau, dass ihnen diese großartige Idee nicht selbst gekommen ist. Der Bürger muss nicht mühsam bespitzelt werden, er macht selbst alles publik und hat noch seinen Spaß dabei.

Die Veröffentlichungen im Internet über die eigenen Vorlieben, das eigene Privatleben und die eigene Meinug sind genauso wie wenn man das in einer Zeitung veröffentlicht. Allerdings ohne Chance darauf, dass das irgendwann vergessen wird.

Wer also ein nicht seinem Beruf entsprechendes Privatleben öffentlich macht, kann damit rechnen, dass das als Kündigungsgrund verwendet werden kann. Genauso Unmutsäußerungen über Vorgesetzte etc. Teilweise können die veröffentlichten Fotos und Texte zwar auf einen engeren Personenkreis eingeschränkt werden, aber es ist nicht sicher, ob sich nicht jemand als Freund einschleicht und das dann liest oder selbst auf seine Seite stellt. Vielleicht sogar ohne böse Absicht.

Freilich gilt das auch für den Klassiker, wobei ein Ehepartner einen Grund für eine Scheidung sucht.

Es gibt auch Bemühungen zu erreichen, dass bei begründetem Interesse beispielsweise Kreditgeber oder Arbeitgeber Zugriff auf solche Inhalte bekommen sollen, die eigentlich nur für einen eingeschränkten Personenkreis zugänglich sein sollten.

Wie im Jahr 2013 öffentlich bekannt wurde, ist das zumindest in den USA ganz normal. Datensammler wie Suchmaschinenbetreiber, Betreiber von Social Networks, aber auch Hersteller von Software werden unter Verschwiegenheitspflicht zumindest in den USA von den dortigen Spionagediensten zur Herausgabe von Daten verpflichtet resp. geben diesen überhaupt direkten Zugriff. Für Software-Hersteller gehört es beispielsweise zum Leistungspaket, "Backdoors" bereitzustellen; auch für Verschlüsselungsverfahren. Dazu liefern dann noch beispielsweise die EU-Länder Flugdaten und Banküberweisungs-Daten ihrer Bürger an die USA. Solcherart lässt sich mit der Zeit über Jeden ein schönes Dossier anlegen.

Vertraulichkeit in Social Networks gibt es also nicht und gespeichert bleiben die Inhalte evtl. "ewig". Präsentieren Sie also nichts im Internet, das Sie nicht auch jedem erzählen würden. Und evtl. eben auch bis an Ihr Lebensende und darüber hinaus. Das betrifft freilich auch E-Mail-Kommunikation. Also alles, was über das Internet kommuniziert wird. So wie jede elektronische Kommunikation.

Gehen Sie davon aus, dass alles gesammelt wird und nie irgendwas gelöscht wird. Nicht, weil das unmöglich wäre, sondern weil man nicht wissen kann, wann man was noch einmal brauchen könnte.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Anonym im Internet gibt es nicht, Anonymisierung ist unsicher

Anonym im Internet gibt es nicht. Falls Ihnen jemand hinterherspionieren will, dann ist ein "Nick" oder ein falsch angegebener Name ein relativ leicht überwindbares Hindernis. Wenn man mit dem Internet verbunden ist, hat man immer eine IP-Adresse. Evtl. ist diese IP-Adresse eine dynamische IP-Adresse - also nur vorübergehend einem zugeteilt -, aber das ist egal: Zur selben Zeit hat nur ein Internet-Anschluss die selbe IP-Adresse. Über die Kombination von IP-Adresse und Zeitangabe ist also eine eindeutige Zuordnung des Teilnehmers möglich - genauer: eines bestimmten Computers. Ihre IP-Adresse wird immer hinterlassen, wenn Sie im Internet irgendwas aufrufen oder abfragen. Also bei jedem Seitenaufruf wird auch Ihre IP-Adresse protokolliert und sowieso auch, wenn Sie einen Kommentar oder Forumsbeitrag irgendwo hinterlassen. Das ist eine Basisfunktion von Webservern. Auch wenn es jemand nicht auf die Nachverfolgung anlegt, dann kann jedenfalls nachträglich immer noch nachgeschaut werden, wer wann was angeschaut, hochgeladen oder heruntergeladen hat.

Die IP-Adresse ist eine einfache Möglichkeit, jemanden zu identifizieren, aber es geht auch anders.

Mitunter wird auch angeboten, dass Daten für Zwecke der Marktforschung - oder zur Produktverbesserung - erhoben werden und dafür nach Einwilligung gefragt. Eine solche Anonymisierung ist kaum wirksam möglich. Man kann jemandem gute Absichten unterstellen und davon ausgehen, dass keine quasi "De-Anonymisierung" versucht wird, aber beim Zusammenführen von anonymen Daten aus mehreren Quellen wird man durch Übereinstimmungen mehrerer Parameter beispielsweise feststellen können, dass es sich beim Anonym235, Anonym554 und Anonym726 um die selbe Person handelt. Wenn diese Eigenschaften dann auch auf einen zutreffen, der beispielsweise bei einer Bestellung seinen Namen angegeben hat, dann kann man alle die Informationen von Anonym235, Anonym554 und Anonym726 schon einmal diesem Namen zuordnen. Dass dies auch passiert, ist nicht zwangsläufig, aber dass Anonymisierung nicht wieder aufgelöst werden kann, ist in der Regel wohl nicht zutreffend.

Es gibt auch Anonymisierungsdienste, sogenannte Anonymisierungsserver. Wenn man sich über diese mit dem Internet verbindet, wird die eigene Identität verschleiert. Dabei werden beispielsweise Datenpakete zerhackt und dann wieder zusammengesetzt. Die Techniken sind großartig beschrieben. Klingt ja ganz gut, wenn man einfach nicht will, dass man verfolgt wird; auch ohne Böses vorzuhaben oder illegale Inhalte anschauen zu wollen. - Nun stellt sich aber die Frage: Bitte wer hat ein Interesse daran, wildfremden Leuten einen solchen sündhaft teuren Dienst zur Verfügung zu stellen? Und zwar Leuten von denen einige vielleicht wirklich kriminell sind und solcherart unbehelligt Angriffspläne, Bombenbauanleitungen oder Kinderpornos austauschen wollen. - Eine naheliegende Antwort könnte es wohl sein, dass diese Anonymisierungsdienste von Geheimdiensten betrieben werden - oder Firmen, die Geheimdiensten zuarbeiten -, die solcherart ihre "Schäfchen" schön beobachten können. Eine andere vernünftige Erklärung dürfte es wohl nicht geben.

Vielleicht können Sie sich noch an die Zeit der Einführung des Digital-Mobiltelefons erinnern. Damals war pausenlos die Rede davon, dass das abhörsicher ist. Das war lediglich insofern richtig, als man die Telefonate nicht mit einem Funkscanner abhören konnte. Dies war mit den vorher analogen Mobiltelefonsystemen möglich. Aber es wurde so kommuniziert, dass die technisch nicht Versierten geglaubt hatten, die Telefonate wären überhaupt nicht abhörbar. Technisch ist das freilich dämlich, weil wie sollte sonst ein Telefonat ins damals noch analoge Telefonnetz möglich sein. Darauf sind aber viele Gauner hereingefallen und konnten solcherart eine Zeit lang sehr komfortabel gefangen werden. Irgendwann hatte es dann auch der Dümmste unter ihnen mitbekommen, dass Digital-Mobiltelefon für Behörden nicht nur sowieso abhörbar sondern auch der Standort sehr gut ortbar war ...

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

Kameras, Mikrofone und der Rückkanal - Orwells 1984 war optimistisch

Für die Zukunft soll es geplant sein, jedem Menschen eine eigene IP-Adresse zuzuordnen. Solcherart ist das gezielte "Anzapfen" (und auch Aussperren) leicht möglich. Es werden viele besonders attraktive Service-Angebote erscheinen, die nur mit fixer IP-Adresse funktionieren und solcherart die Einführung dieser Möglichkeit mit "freundlicher Nötigung" ermöglichen. Beispielsweise über Smartphones mit Fernsehen oder Radio als Video- oder Audio-Stream. Ein Beispiel auf verwandtem Gebiet ist die Gestaltung von Daten-Tarifen, die eine ständig aufrechte Verbindung mit dem Internet begünstigt. Oder Messaging-Dienste, die ohne ständige Verbindung witzlos sind. Oder auch bei Software, die entweder nur umständlich oder gar nicht auf einem Rechner ohne Internet-Verbindung funktioniert.

In die selbe Richtung geht auch die zunehmende Nutzung des Internet durch Geräte, die nicht Computer und nicht Kommunikationsgeräte sind. So beispielsweise Spielkonsolen oder Fernseher. Solcherart werden auch jene dazu gedrängt, über das Internet erreichbar zu sein, die keinen Computer verwenden und keine Internet-Dienste über das Handy nutzen. Noch jüngere Ideen in diese Richtung sind Fernseher mit denen es dann so praktisch ist, bei einer Shopping-Sendung via Internet gleich zu bestellen. Oder "Blue-ray-Disc Live" ("BD Live") wodurch Blu-ray-Disc-Player vor der Wiedergabe einer Video-BD erst im Internet irgendwelche Zusatzdienste abfragen. Die freilich wahnsinnig wichtig sind, wenn man sich einfach nur einen Kinofilm anschauen will. Solcherart kann freilich auch die Wiedergabe einer BD verhindert werden.

Der Rückkanal und die exklusive IP-Adresse sind die Voraussetzung für das, was in Orwells "1984" als "Telescreen" bezeichnet wird. Passen Sie also auch auf die in ihrem Computer, Handy, Fernseher und Spielkonsole eingebauten Kameras und Mikrofone gut auf. Man sollte Literatur nicht nur dazu verwenden um passende Zitate in ein Gespräch einfließen zu lassen.

Eine subtile Variante der Zensur ist es freilich, uns davon abzuhalten, den Inhalt der Literatur anzuwenden, sondern nur über Schreibstil und dramaturgischen Aufbau zu diskutieren.

Im Februar 2015 ist es bekannt geworden, dass Samsung-Fernseher über das Mikrofon des Fernsehers Gespräche an einen "exteren Dienst" weiterleiten. In den Absätzen oberhalb wurde hier bereits mehrere Jahre davor dies als Möglichkeit durch die technischen Voraussetzungen in Aussicht gestellt. Dass das auch mit Aufnahmen von einer in den Fernseher integrierten Kamera passiert, ist genauso nicht auszuschließen. Außerdem ist nicht auszuschließen, dass auch andere Hersteller von Fernsehern dieses Telescreen-Feature anbieten. Direktverbindung vom Wohnzimmer ins Ministerium für Liebe sozusagen.

[!> Also: Fernseher mit Mikrofon und Kamera meiden oder das Mikrofon zerstören und die Kamera abdecken. Per Software abschalten hilft nicht, weil alles, was per Software - übers Menü des Fernsehers - ein- und ausgeschaltet werden kann, kann genausogut aus der Ferne eingeschaltet werden. Jedenfalls ist das vernünftigerweise nicht auszuschließen.

Spaß und Bequemlichkeit als Schlüssel für freiwillige Bespitzelung

Jede Art von "Rückkanal" - was jede Internet-Verbindung darstellt - ermöglicht tiefe Einblicke in das Privatleben. Wenn damit auch Kameras und Mikrofone verbunden sind, ist es freilich auch möglich, diese zum - auch visuellen - Belauschen einzusetzen.

Bei Handys ist es sowieso schon jederzeit möglich, jeden wie mit einer Wanze abzuhören und seinen Aufenthaltsort zu ermitteln. Durch gespeicherte Aufzeichnungen auch im Nachhinein. Es ist selbstverständlich naiv, zu glauben, dass solche Dinge nie subversiv eingesetzt werden oder in Zukunft eingesetzt werden können.

Es würde freilich nicht gelingen, eine solche Überwachungs-Infrastruktur zu installieren, wenn man diese nicht mit einem Nutzen oder Spaßgewinn von den Zielpersonen selbst kaufen und "installieren" ließe.

Der Nutzen oder Spaß reicht von der Ermittlung des Aufenthaltsorts über die Einkaufsgewohnheiten, Freizeit-Aktivitäten, die entweder über Handy - evtl. noch mit GPS verknüpft - Computer, Zahlungsverfahren oder schlicht die eigenen Berichte in Social Networks oder sonstwo im Internet freiwillig - und mit großer Begeisterung - bereitgestellt werden. Dass die so zusammengestellten Dossiers über Einzelpersonen auch verkauft werden, wird von Einigen sogar offen gesagt.

Zielgerichtete Werbung ist dabei noch die harmloseste der denkbaren Einsatzmöglichkeiten. Wenn die Informationen aber einmal - sowieso freiwillig - von den jeweiligen Zielpersonen gegeben sind, dann ist das irreversibel.

Noch vor dreißig Jahren wurde in Österreich heftig darüber diskutiert ob bei den staatlichen Fragebögen zur Volkszählung das Religionsbekenntnis abgefragt werden darf. Selbstverständlich nicht, das ist reine Privatsache. Seit 2011 gibt es übrigens diese Fragebögen zur Volkszählung in Österreich nicht mehr, weil der Staat sowieso alle Daten durch Vernetzung der verschiedenen Behörden ständig abrufbereit hat. Die ehemalige Volkszählung heißt seither "Registerzählung".

Wenn man das mit kleinen Vorteilen verbindet und vielleicht auch ein bisschen Spaß dabei ist, dann schaut die Sache ganz anders aus. Man darf halt nicht so direkt danach fragen.

Also beispielsweise ein kleiner Rabatt im Supermarkt: Wenn Sie am letzten Samstag Ihren Wochenendeinkauf mit Bankomatkarte bezahlt haben kann ihnen jeder Hacker erzählen was Sie so alles eingekauft haben. Oder anhand Ihrer Historie, dass sie vielleicht bedenklich viel Rotwein kaufen oder wegen der vielen Diät-Produkte möglicherweise krank sind etc.

Und wenn Ihr Fernseher aus irgendeinem lustigen Grund - beispielsweise um über Skype videotelefonieren zu können - mit einer Kamera und Internet-Anschluss ausgestattet ist, kann er Ihnen sogar beim Essen zuschauen.

Das Totschlags-Argument "wenn man nichts zu verbergen hat..." - inzwischen leider schon wieder ein geflügeltes Wort - wurde bereits von den Nazis gebraucht.

Gesetze, die Eindringen in Privatsphäre erlauben sind als solche Unrecht

Im Grunde ist es sehr einfach: Produkte, welche Funktionen beinhalten, die das Ausspähen, Identifizieren und Orten - ausgenommen Mobiltelefon - erlauben und nicht vorgabemäßig wirksam abgeschaltet sind, sind eigentlich inakzeptabel. In der Hauptsache betrifft das Zusatzfunktionen von Smartphones und generell auch RFID-artige Funktionen wie beispielsweise in Bankomatkarten.

Wenn aktuelle Gesetze sowas zulassen, dann hätte man jene, die solche Gesetze beschließen Ende des vorigen Jahrhunderts als Angehörigen eines Unrechts-Regimes bezeichnet - oder bestenfalls als unfähig, weil von Lobbyisten überrumpelt -, weil solche Gesetze dann nicht im Sinne der Bevölkerung sein können. Wenn etwas legal ist, bedeutet das leider lange nicht, dass es legitim ist. Vor 80 Jahren waren viel schlimmere Dinge legal.

Wenn derartige Funktionen über Software eingeschaltet werden können, dann sind sie auch aus der Ferne aktivierbar und daher nicht wirksam abschaltbar. In der Regel werden heute Funktionen per Software ein- und ausgeschaltet.

Es ist nicht zumutbar, dass der Bürger genötigt ist, sich pausenlos selbst zu schützen, weil er vom Gesetzgeber nicht ausreichend geschützt wird. Es ist so wie wenn es selbstverständlich wäre, dass man am Marktplatz einem Sperrfeuer von Maschinenpistolen ausgeliefert ist und einfach selbst schuld ist, wenn man nicht mit schußsicherer Kleidung die Wohnung verlässt (Dies ist durchaus nicht so arg übertrieben: Im Jahr 2015 wurde in Österreich ein Gesetz verabschiedet, wonach räuberischer Diebstahl quasi nicht mehr verfolgt wird. Gegen Zahlung eines Geldbetrags wird kein Strafverfahren eröffnet und der Täter bleibt unbescholten. Das Nichtbezahlen einer Anzeige wegen Falschparkens wird vergleichsweise schärfer verfolgt.).

Das ist nicht mehr normal, aber es ist der - weitestgehend unwidersprochene - Tenor aller jener, die von dieser Situation profitieren, dass man sich schließlich selbst darum kümmern muss, wenn man nicht rundherum ausgespäht werden möchte.

| Strategien gegen Belästigung, Spionage und Trickbetrug via Internet |

| praktiker.at Top |
© 2000-2023 by Felix Wessely, Wien (Austria) - All rights reserved - Permalink - Nutzungsbedingungen - Impressum