Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

21.11.2006

Kampf den Betrügern

Moritz Jäger
Im Internet zahlen Sie mit Zahlenkombinationen und Ihrem guten Namen. Doch wie verhindern Sie, dass diese Daten in die falschen Hände fallen? Wir zeigen Ihnen, wie Sie Phishern ohne großen Aufwand das Leben schwer machen.

Von Moritz Jäger, tecChannel.de

Homebanking, TANs, Zugangsdaten, Kreditkartennummern, PayPal-Accounts - Zahlungsweisen im Internet bestehen zum größten Teil aus alphanu- merischen Kombinationen. Kaum ein Webshop allerdings macht sich die Mühe, die eingegebenen Daten mit dem Besitzer zu vergleichen. Ein gefundenes Fressen also für allerlei Betrüger, schließlich müssen sie die Daten lediglich abfangen.

Phisher und andere dubiose Gestalten nutzen hauptsächlich zwei Angriffswege, um an die Daten zu gelangen. Oft handelt es sich dabei um Angriffe per Phishing-E-Mails, die arglose Nutzer auf präparierte Websites locken und sie dort um ihre Zugangsdaten bringen wollen. Die zweite Methode sind so genannte "Keylogger", die sich auf dem Rechner des Opfers einnisten, Eingaben mitprotokollieren und anschließend an den Phisher schicken. Das passiert komplett im Hintergrund, ohne dass der Anwender etwas bemerkt. Denn je unauffälliger sich das Schadprogramm verhält, desto geringer ist die Chance der Enttarnung. Problematisch wird es vor allem, wenn die Signaturen des Keyloggers dem Virenschutzprogramm noch nicht bekannt sind.

Virtuelle Maschinen als Hochsicherheitsumgebung

Die technisch aufwändigste Methode, sich zu schützen, sind virtuelle Umgebungen. Das Gastsystem ist vom eigentlichen Betriebssystem getrennt und hat im besten Fall eine komplett andere Softwarestruktur. Viren, die zwischen verschiedenen Betriebssystemen, etwa Windows und Linux, springen können, gibt es zwar, allerdings sind sie aufwändig zu erstellen und existieren derzeit nur als Beispielcode. Deswegen setzen wir in der virtuellen Maschine die Linux-Distribution PCLinuxOS (www.pclinuxos.de) ein.

PCLinuxOS bringt in der kleinsten Version MiniMe aktuell etwa 300 MB mit und orientiert sich optisch an Windows XP. MiniMe liefert nur eine grundlegende KDE-Umgebung, enthält aber den Synaptic Paket Manager, mit dem sich neue Programme schnell nachrüsten lassen. Für die virtuelle Umgebung greifen wir auf den kostenlosen VMware-Player zurück.

Virtuelle Umgebung vorbereiten

Nach dem Download und der Installation des VMware-Players ist Ihre virtuelle Umgebung bereit. Sollten Sie PCLinuxOS als ISO- Datei von www.pclinuxos.de heruntergeladen haben, benötigen Sie noch den VMX-Wizard (http://rhysgoodwin.orcon.net.nz/vmxwizard), der eine lauffähige virtuelle Maschine erstellt. Die Software setzt ein installiertes .NET-Framework voraus.

Falls sich dieses noch nicht auf Ihrem PC befindet, finden Sie den Download auf der Microsoft-Seite.

Erstellen Sie nun mit dem VMX-Wizard eine passende Datei von PCLinuxOS. Der zugewiesene Arbeitsspeicher sollte dabei zwischen 256 MB und 512 MB liegen, als Festplattengröße reichen die vorgeschlagenen 5 GB aus. Die virtuellen Maschinen belegen den zugewiesenen Platz dynamisch, was nicht gebraucht wird, bleibt also dem Host-System erhalten.

Bei der Auswahl des Netzwerktyps haben wir uns im Test für "Bridged" entschieden. Damit kann das PCLinuxOS auf die Netzwerkkarte des Host-Systems zugreifen. Nach der Installation belegt das komplett virtualisierte PCLinuxOS im Test etwa 560 MB. Ist die VMX-Datei erstellt, starten Sie diese im VMware-Player.

Live-CD einrichten

Starten Sie nun die Live-CD, anschließend landen Sie im Anmeldebereich von PCLinuxOS. Loggen Sie sich als Nutzer "Guest" mit dem Passwort "guest" ein. Als Erstes sollten Sie das Tastatur-Layout anpassen. Dieses finden Sie im Startmenü unter "Configuration/KDE/Accessibility/Keyboard Layout".

Prüfen Sie anschließend, ob Sie Zugriff auf das Internet erhalten. Dafür reicht der mitgelieferte Browser "Konquerer", den Sie unter "Networking/WWW" finden. Im Normalfall erkennt die Distribution die VMware-Treiber einwandfrei. Da sich der Konqueror aber aufgrund seiner fehlenden Kompatibilität nur bedingt für Online-Banking eignet, sollten Sie den Firefox nachinstallieren. Dazu muss PCLinuxOS erst einmal auf die virtuelle Festplatte.

PCLinuxOS virtuell installieren

Direkt auf dem Desktop befindet sich ein Shortcut namens "Install PCLinuxOS". Nach Eingabe des Root-Passworts "root" ruft dieser einen Assistenten auf, der Sie durch die Installation führt. Bestätigen Sie die ersten Punkte einfach mit Weiter. Da für die virtuelle Umgebung eine eigene Festplatte zur Verfügung steht, können Sie bei der Formatierung und Partitionierung die Vorschläge von Linux ebenfalls direkt bestätigen. Lediglich das neue Root-Passwort sollten Sie sich gut überlegen, denn das benötigen Sie zum Installieren von Programmen auf der Festplatte.

Ob Sie als Bootloader "LiLo" oder "Grub" bevorzugen, bleibt Ihnen überlassen. Beenden Sie nach der erfolgreichen Installation die Live-CD und starten Sie die virtuelle Maschine neu. Statt des Live-CD-Menüs sollte nun der ausgewählte Bootloader erscheinen. Falls das nicht der Fall ist, prüfen Sie im Bios, ob VMware die Festplatte als erstes Bootmedium gewählt hat. Booten Sie anschließend normal und melden Sie sich an der Oberfläche an. Sollten die Spracheinstellungen nicht übernommen worden sein, passen Sie das Tastatur-Layout entsprechend an.

Nach der Installation sollten Sie Ihr neues Linux noch absichern. Da innerhalb der virtuellen Maschine kein anderes Programm als der Browser Zugriff auf das Internet haben soll, sperren Sie die anderen Ports einfach mit einer Firewall. Sie finden diese im PCLinuxOS Control Center unter "Configuration/PCLinuxOS Control Center". Im Bereich "Security" finden Sie die Personal Firewall. Setzen Sie das Kreuz nur bei "Apache Web Services", alle anderen sind unwichtig.

Firefox nachrüsten und anpassen

Nach dem Anmelden können Sie Programme dauerhaft installieren. PCLinuxOS verwendet das Debian-Format "apt - get" und bietet mit dem Programm-Manager "Synaptic" ein gut zu bedienendes Front-End dafür. Klicken Sie auf das Synaptic-Symbol und geben Sie Ihr zuvor erstelltes Root-Passwort ein. Anschließend bringt sich das Programm selbstständig auf den aktuellsten Stand.

Per "Search" finden Sie schnell das aktuellste Firefox-Programmpaket. Wählen Sie es aus und bestätigen Sie die Abhängigkeiten sowie die Aktion mit "Apply". Anschließend lädt Synaptic alle notwendigen Dateien, installiert Firefox und legt eine Verknüpfung in "Networking/WWW/" an.

Nun muss nur noch Firefox entsprechend angepasst werden. Unter "Edit - Preferences" gelangen Sie in die Einstellungen des Browsers. Klicken Sie anschließend in der Schaltfläche "Privacy" auf den Button "Settings". Wenn Sie hier "Clear Private Data when closing Firefox" aktivieren, dann löscht der Browser beim Beenden all Ihre privaten Daten, die während der Sitzung angefallen sind.

Ebenfalls sollten Sie im Menü "Content" Java und Javascript deaktivieren. Die meisten Banken verzichten auf diese Technologie, die potenzielle Angriffspunkte birgt. Versuchen Sie Homebanking einfach zunächst ohne Java; sollten Sie es dennoch benötigen, müssen Sie es aktivieren. Surfen Sie auf die Online-Banking-Seite Ihrer Bank und richten Sie ein Lesezeichen ein. Anschließend können Sie die Homebanking-Seite noch als Homepage einrichten.

Wenn Sie Ihr System in Zukunft nutzen, müssen Sie allerdings daran denken, auch Linux und Firefox immer auf dem neuesten Stand zu halten. Am komfortabelsten erledigen Sie das mit "Synaptic". Der Paketmanager überprüft die installierten Programme selbstständig auf neue Versionen. Mit "Mark All Upgrades" und einem anschließenden "Apply" führen Sie ein Update Ihres Systems durch. Gewöhnen Sie sich einfach an, die bestehenden Dateien alle paar Tage so auf neue Versionen zu prüfen.

Vor- und Nachteile der virtuellen Umgebung

Damit ist Ihre sichere Homebanking-Umgebung eingerichtet. Sollten auf dem PC Keylogger installiert sein, scheitern diese am VMware-Player, da die virtuelle Umgebung sich vor den normalen Keyboard-Treiber einklinkt. Windows-Trojaner sind ebenfalls außer Gefecht gesetzt, da die unterschiedlichen Architekturen einen Übergriff verhindern.

Der VMware-Player speichert die virtuelle Umgebung standardmäßig ab, wenn Sie auf Beenden klicken. Wenn Sie anschließend die Umgebung erneut aufrufen, stellt VMware den letzten Zustand wieder her. PCLinuxOS bietet optisch und funktional einiges, ist aber dennoch relativ schlank. Dadurch ist die Distribution sehr schnell wieder geladen und einsatzbereit. Die zusätzliche Ladezeit wiegt den enormen Sicherheitsvorteil auf alle Fälle auf.

Der Nachteil der virtuellen Umgebung ist, dass sie sowohl einen einigermaßen leistungsstarken PC als auch eine installierte VMware-Umgebung voraussetzt. Ist beides allerdings vorhanden, können Sie eine einmal erstellte virtuelle Maschine auf jedem Rechner mitnehmen, indem Sie den kompletten Ordner beispielsweise auf eine CD/DVD brennen oder auf ein entsprechend großes USB-Speichermedium kopieren.

Falls Sie sowohl auf optischen als auch auf bedienungsmäßigen Komfort verzichten können, sollten Sie statt PCLinuxOS etwa die Distribution "DamnSmallLinux" (www.damnsmalllinux.org) wählen. Diese benötigt in der aktuellen Version gerade einmal 50 MB. Zudem gibt es den Download bereits als fertige VMX-Datei. Auch DamnSmallLinux verwendet Synaptic als Programm-Manager.

Sollte Ihnen keine der beiden Distributionen zusagen, ist das VMware Technology Network (www.vmware.com/vmtn/applian ces) eine gute Anlaufstelle für virtuelle Linux-Versionen. Hier finden Sie eine große Anzahl fertiger Distributionen.

Windows direkt absichern

Wer sich den Aufwand einer zusätzlichen virtuellen Umgebung nicht zumuten will, kann auch direkt unter Windows Änderungen vornehmen, mit denen das Betriebssystem deutlich sicherer wird. Eine der wichtigsten Änderungen betrifft die Anzeige der bekannten Dateiendungen.

Von Haus aus blendet Windows diese drei Buchstaben (etwa ".exe", ".pdf", ".doc") aus. Betrüger nutzen das aus und tarnen ihre Schadprogramme beispielsweise mit "Bericht.pdf" als vermeintlich sicheres PDF-Dokument. In Wahrheit heißt die Datei dann aber "Bericht.pdf.exe". Beim Aufruf startet statt des Dokuments eine Installationsroutine, die den Computer mit einem unerwünschten Programm versieht.

Sie können dieser Taktik leicht einen Riegel vorschieben. Dazu gehen Sie im Windows-Explorer auf "Extras/Ordneroptionen". Wählen Sie anschließend den Reiter Ansicht und entfernen Sie das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden". Bestätigen Sie mit OK, und künftig zeigt Windows alle Dateinamen komplett an.

Keylogger mit Bildschirm-tastaturen austricksen

Ein Großteil der Keylogger klingt sich direkt nach dem Tastaturtreiber ein und protokolliert sämtliche Eingaben mit. Anschließend erstellt das Programm eine Log- Datei und schickt diese an seinen Besitzer. Der wiederum durchforstet die Dateien nach Benutzernamen und Passwörtern. Keylogger verrichten ihre Arbeit unerkannt im Hintergrund, solange die Signatur in einem Antivirenprogramm fehlt, werden sie nicht entdeckt. Bildschirmtastaturen sind allerdings ein eleganter und einfacher Weg, um sie auszutricksen.

Eine Bildschirmtastatur ist eine virtuelle Tastatur, die mit der Maus bedient wird. Gedacht waren diese Programme ursprünglich für behinderte Menschen. Windows enthält zwar eine solche Tastatur, allerdings ist diese nicht sicher. Besser ist beispielsweise die Freeware "Virtual Keyboard" von Andrej Koch (www.andrej-koch.de/con tent/view/7/20/lang,de), die zudem nicht installiert werden muss. Sie geben die Dateien einfach in das Fenster ein und kopieren Sie anschließend in die notwendigen Felder.

Das Konzept funktioniert so gut, dass einige Banken und E-Mail-Anbieter (etwa Safe-Mail.net) für ihre Kunden eine solche virtuelle Tastatur für die Anmeldung und die Eingabe von Daten bereitstellen. Allerdings eignen sich diese Keyboards kaum für den täglichen Einsatz, dazu sind sie zu unflexibel. Für die Eingabe sensibler Daten sollten Sie aber, besonders an öffentlichen Rechnern, auf eine virtuelle Tastatur zurückgreifen.

Sparen Sie nicht bei der Sicherheit

Bei der Sicherheit eines Windows-Systems zu sparen kann fatal enden. Denn noch immer hat Windows die größte Verbreitung, damit ist es ein lohnendes Ziel für Betrüger und die Verteiler von Schadsoftware. Ein aktueller Virenscanner ist inzwischen auf jedem System Pflicht. Ebenso sollten Sie alle Patches einspielen, die Microsoft anbietet. Jeden zweiten Dienstagabend im Monat ist der Microsoft Patch Day, an dem die neuesten Updates veröffentlicht werden.

Setzen Sie auf Firewalls - und zwar doppelt! Der größte Teil der DSL-User nutzt einen Router für die Internetverbindung. Machen Sie sich mit Ihrem Router vertraut und öffnen Sie nur die wichtigsten Ports. Außerdem sollten Sie UPnP deaktivieren, wenn es nicht unbedingt notwendig ist. Die Technologie erlaubt es einzelnen Programmen, selbstständig Ports zu öffnen, und birgt somit ein nicht zu unterschätzendes Risikopotenzial.

Aktuelle Antivirensuiten bringen zudem meist eine Desktop-Firewall mit, die Sie ebenfalls aktivieren sollten. Damit verhindern Sie, dass Malware bereits abgefangene Daten wie TANs oder Zugangsdaten nach außen schleust.

Nutzen Sie Virtualisierungstechnologien

Virtualisierung ist ein aktuelles Thema, die meisten denken dabei aber eher an Serverthemen. Dabei gibt es inzwischen eine Reihe von Programmen, die eine einfache Virtualisierung auf dem Desktop erlauben. Desktop-Virtualisierungen helfen zwar nicht gegen bereits installierte Malware, können die Infektion jedoch schon vorher verhindern.

Ein Beispiel dafür ist die Altiris-Software "Virtualisation Solution" (SVS). SVS erstellt virtuelle Layer und legt diese zwischen Anwendung und Betriebssystem. Damit können Sie Änderungen problemlos rückgängig machen. So lassen sich beispielsweise neue Programme und deren Verhalten vor dem Produktiveinsatz testen. Zudem können Sie mit Ihren installierten Sicherheits-Tools prüfen, wie sich die neuen Programme in einer "echten" Betriebssystemumgebung verhalten. Enttarnte Malware lässt sich anschließend leicht von Ihrem System tilgen.

Der Desktop-Virtualisierung haben sich auch die Hersteller Trustware und Greenborder angenommen. Beide verfolgen einen ähnlichen Ansatz wie Altiris, richten sich aber mehr auf die Sicherheit aus. Die Tools der Hersteller errichten einen Layer um die je- weiligen Anwendungen, sodass Schadsoftware nicht ohne weiteres in das System eindringen kann. Trustware bietet von seiner Lösung Buffer Zone kostenlose Versionen an, die jeweils auf ein Programm fixiert sind. Greenborder offeriert lediglich eine Trial-Version seiner Software.

Browser-Erweiterungen im Kampf gegen Phisher

Die virtuelle Umgebung aus dem ersten Teil des Workshops schützt Sie zwar beim Online-Banking, gegen die alltäglichen Phishing-Angriffe müssen Sie allerdings Windows und Ihren Browser wappnen. Denn die aktuellen Browser sind Angriffsziel Nummer eins der Internetbetrüger. Weltweit wird derzeit der Internet Explorer am meisten eingesetzt, gefolgt vom Mozilla Firefox. Phisher nutzen gezielt die Schwachstellen der Programme aus, um Nutzer auf präparierte Seiten zu locken. Waren Phishing-Seiten früher noch relativ leicht zu erkennen, sind die Websites inzwischen perfekt an den deutschen Markt angepasst.

Abhilfe schaffen hier Anti-Phishing-Toolbars. Diese Informationsleisten klinken sich in den jeweiligen Browser ein und gleichen aufgerufene Seiten mit einer Datenbank ab. Enthält eine Seite einen negativen Eintrag, blockieren die Toolbars den Zugriff und warnen den Nutzer. Die vier bekanntesten Sicherheitserweiterungen kommen von Google, Microsoft, Netcraft und der Open Anti-Phishing Database.

Sicherheit für den Internet Explorer

Microsoft hat den Phishing-Schutz in die aktuelle Live-Toolbar (http://toolbar.live.com/?mkt=de-de) integriert. Im kommenden Internet Explorer 7 wird die Funktion ebenfalls zur Standardausrüstung gehören. Nach der Installation muss das Anti-Phishing-Modul beim ersten Start aktiviert werden, erkennt dann aber zuverlässig Angriffe.

Die Warnhinweise des One Care Advisors sind klar und verständlich, selbst für weniger geschulte Internetnutzer. Zudem ist die Toolbar bereits lokalisiert.

Toolbars für Firefox

Google baut die Sicherheits-Features derzeit nur in die Toolbar für Firefox (http://toolbar.google.de) ein. Nach der Installation und dem obligatorischen Neustart muss auch hier die Anti-Phishing-Option extra aktiviert werden. Unsere Test-Phishing-Site wurde dann aber problemlos erkannt, der Warnhinweis ist wie bei Microsoft klar verständlich und sticht sofort ins Auge.

Die Sicherheitsfirma Netcraft (http://toolbar.netcraft.com) ist beiden Browsern zugewandt. Sowohl im Internet Explorer als auch im Firefox arbeitet der Schutz zuverlässig. Ruft ein Nutzer eine Seite auf, die als Phishing-Versuch eingestuft ist, erkennt das Netcraft bereits, während die Seite lädt. Auf Wunsch blockiert die Toolbar den Zugang. Damit kann Netcraft zusätzlich vor Malware schützen, welche die Phishing-Site unter Umständen nach dem kompletten Aufbau zu installieren versucht.

Open Source enttäuscht

Mit der Open Phishing Database (http://opdb.berlios.de; OPDB) gibt es Bestrebungen, eine freie Anti-Phishing-Bibliothek zu erstellen. Das ehrgeizige Projekt hat bereits eine Toolbar für Firefox und den KDE-Browser Konqueror veröffentlicht, enttäuscht allerdings im Praxistest.

Während sämtliche kommerziellen Toolbars die Testseite eindeutig identifizierten, erkannte "FirePhish", so der Name der Erweiterung, die Seite nicht. Noch schlimmer, das Risiko wurde als "low" eingestuft. Solange das Projekt nicht deutlich zuverlässiger und aktiver wird, ist FirePhish nicht zu empfehlen.

KeyScrambler - Daten kostenlos automatisch verschlüsselt

"KeyScrambler" ist eine Software, die automatisch Tastatureingaben auf der Kernel-Ebene verschlüsselt. Anschließend zeichnen mitlauschende Programme bei Eingaben lediglich eine sinnlose Kombination aus Buchstaben und Zahlen auf. Hersteller QFX Software (www.qfxsoftware.com) bietet zwei verschiedene Versionen an. Die kostenlose Personal Version, verschlüsselt alle Eingaben innerhalb der Browser Firefox und Internet Explorer, die einen Benutzernamen und ein Kennwort erfordern. Zahlenkolonnen, etwa Konto- oder Kreditkartennummern werden allerdings nicht erfasst, das ist der 24,99 Dollar teuren Pro-Variante vorbehalten.

KeyScrambler Personal eignet sich damit vor allem für den Schutz von E-Mail-Konten oder Login-Daten, die auf alpha-nummerische Kombinationen setzen, etwa eBay-Accounts. Die Software arbeitet mit den Browsern Internet Explorer Version 6 und 7 sowie dem aktuellen Firefox zusammen. KeyScrambler bleibt ständig im Hintergrund geladen, im Test fielen allerdings keine Geschwindigkeitseinbußen auf.

Da die Daten während der Eingabe nicht im Klartext vorliegen, ist das Programm auch perfekt geeignet, um Keylogger zu bekämpfen, die Screenshots oder Videos vom Bildschirm anfertigen. Um zu zeigen, dass KeyScrambler selbst keinerlei Schadcode enthält, wurde das Programm sowohl von der bekannten Softwareseite Softpedia (www.softpedia.com) als auch von der Mozilla Foundation untersucht. Beide kamen zu dem Ergebnis, dass KeyScrambler frei von Viren, Ad- und Spyware ist.

Sicherer Firefox für unterwegs

Auf der Webseite www.portableapps.com bieten die Entwickler eine Version des aktuellen Firefox an, die sich ohne Installation von jedem Medium starten lässt. Damit eignet sich dieser Firefox perfekt für den Einsatz auf öffentlich zugänglichen PCs. Laden Sie sich Ihre Version herunter und starten Sie die Datei. Firefox entpackt sich selbst in ein Verzeichnis Ihrer Wahl. Schließen Sie nun alle anderen Instanzen des Browsers und starten Sie die ausführbare Datei "PortableFirefox.exe".

Der Browser arbeitet völlig unabhängig von einer möglicherweise installierten Version und kann dementsprechend auch mit eigenen Erweiterungen versehen werden. Für einen sicheren Browser sollten Sie aber keinerlei zusätzliche Plug-ins, etwa Flash oder Ähnliches, installieren.

Passen Sie den Portable Firefox so an, wie weiter oben unter "Firefox nachrüsten und anpassen" beschrieben. Ist das geschehen, sollten Sie als zusätzliche Sicherheitsmaßnahme den kompletten Ordner mit einem Schreibschutz versehen. Anschließend erhalten Sie beim Start zwar eine Warnung, im Test ließen sich die Homebanking-Seiten dennoch klaglos aufrufen. Sollten Schwierigkeiten auftreten, können Sie den Schreibschutz jederzeit wieder entfernen.

Portable Firefox sollten Sie vor allem dann verwenden, wenn Sie das System, an dem Sie arbeiten, nicht kennen und so wenig Spuren wie möglich hinterlassen wollen. Er bietet zwar einen gewissen Schutz, gegen Keylogger kommen Sie damit allerdings nicht an.

Allgemeine Tipps, die immer helfen

Egal, welchen Browser Sie bevorzugen, er sollte immer auf dem aktuellsten Stand sein. Zusätzlich gehören eine Desktop-Firewall, ein Virenscanner inklusive der neuesten Signaturen sowie die aktuellsten Betriebssystem-Patches auf jeden Rechner.

Rufen Sie Ihre Homebanking-Seite zudem immer über ein Bookmark oder die direkte Eingabe auf, niemals über den Link in einer E-Mail. Wenn Sie eine Überweisung online durchführen, schließen Sie alle anderen geöffneten Tabs oder Browser-Fenster. Angreifer können diese nämlich nutzen, um Ihnen per Cross-Site Scripting Ihre Informationen abzuluchsen.

Bleiben Sie misstrauisch, vor allem im Internet. Niemand verschenkt einfach Geld oder Gegenstände. Banken und Sparkassen werden Sie nie per Mail nach Ihren Zugangsdaten fragen. Sollten Sie die Meldung erhalten, dass eine TAN bereits benutzt wurde, Sie aber vom Gegenteil überzeugt sind, dann wenden Sie sich sofort an die Notfallnummer Ihrer Bank. Nutzen Sie nie Links, um auf die Seite Ihrer Bank zu gehen, sondern tippen Sie die Adresse ein oder verwenden Sie ein Bookmark.

Achten Sie zudem auf die SSL-Verschlüsselung der Seite und prüfen Sie das ausgestellte Zertifikat. Jede Bank hat ein nur für sie ausgestelltes Sicherheitszertifikat eines Herstellers. Darin ist neben dem genauen Namen der Organisation auch die Gültigkeitsdauer angegeben. Die Zertifikate kommen dabei nicht vom Server der Bank, sondern werden vom Aussteller, beispielsweise VeriSign, direkt ausgeliefert. So ist sichergestellt, dass das Zertifikat nach dem Ablauf nicht mehr verwendet wird.

Prüfen Sie regelmäßig die Auszüge Ihrer verschiedenen Konten. So können Sie zwar den Schaden nicht verhindern, im Notfall aber früh einschreiten. Informieren Sie auch hier Ihre Bank, wenn verdächtige Transaktionen stattfinden.

Fazit

Phishing ist ein aktuelles Thema und wird auch in Zukunft eine große Rolle spielen. Die Angriffe lassen sich ohne viel zeitlichen und materiellen Aufwand durchführen, denn beinahe alle Dienstleistungen kann man online erwerben. Eine großflächige Attacke kostet so wenig, dass sich die Sache für den Betrüger lohnt, selbst wenn ihm nur wenige Nutzer auf den Leim gehen. Hinzu kommt, dass Ermittlungsbehörden an Landesgrenzen meist auf unüberwindliche Hindernisse stoßen.

Es liegt also an Ihnen, etwas für Ihre Sicherheit zu tun. Die besten Waffen im Kampf gegen die Betrüger sind Vorsicht, Misstrauen und Information. Je schwerer Sie es den Phishern machen, desto mehr Zeit und Geld müssen diese für ihre Attacken aufwenden.

Jede zusätzliche Sicherheitsstufe bedeutet zunächst zwar erst einmal Aufwand und unter Umständen eine längere Wartezeit. Jede der in diesem Beitrag vorgestellten Lösungen sorgt aber für einen beträchtlichen Sicherheitszuwachs. Vor allem die Windows- und Browser-Tipps sind im Normalfall schnell eingerichtet und verrichten ihren Dienst anschließend unauffällig im Hintergrund. Virtuelle Umgebungen lassen sich mit aktuellen Programmen problemlos erstellen und einrichten. Gerade wenn es um Ihr Geld geht, sollte zusätzliche Sicherheit den Aufwand durchaus wieder wettmachen. TÖ

Dieser Beitrag stammt von tecChannel.de, dem Webzine für technikorientierte Computer- und Kommunikationsprofis. Unter www.tecChannel.de finden Sie weitere Beiträge zu

diesem Thema.