Sicherheits-Irrtümer: Internet-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik zeigt in einer mehrteiligen Reihe die größten Sicherheits-Irrtümer auf, welche ständig wiederholt und allzu schnell als Wahrheit hingenommen werden, ohne dass sie tatsächlich belegbar sind.

Das BSI hat einige gängige Irrtümer identifiziert und zeigt auf, wie die Risiken, die aus einem falschen Verständnis von IT-Sicherheit resultieren, minimiert werden können.

Irrtum 1: „Meine PC-Firewall schützt mich vor allen Angriffen aus dem Internet.“

Leider ist es nicht so einfach.
Ohne die richtige Konfiguration bietet eine Firewall keinen optimalen Schutz vor Angriffen aus dem Internet. Die sogenannte „Personal Firewall“ kontrolliert den eingehenden und abgehenden Datenfluss, um den heimischen PC vor Viren und anderer Schadsoftware zu schützen. Angriffe aus dem Internet nutzen jedoch jede Sicherheitslücke in installierten und genutzten Programmen wie auch in der Firewall selbst aus. Wie bei einzelnen Programmen gilt deshalb auch bei der Firewall: Vor allem die Konfiguration ist entscheidend. Nur mit den richtigen Filterregeln und Einstellungen kann die Sicherheit des Computers gewährleistet werden. So sollten die Einstellungen regelmäßig überprüft und die Filterregeln so definiert werden, dass nur unbedingt notwendige Zugriffe erlaubt sind. Verlangt ein nicht bekanntes Programm Zugriff auf das Internet, sollte der Nutzer dies kritisch prüfen. Nicht vergessen werden sollte auch die Firewall von Internet-Routern. Mehr Informationen zu Firewalls haben wir hier zusammengestellt.

Irrtum 2: „Wenn ich ein aktuelles Virenschutzprogramm habe, muss ich Updates für andere Software nicht sofort installieren.“

Dieser Gedanke ist ein Trugschluss.
Zwar ist ein Virenschutzprogramm wichtig für sicheres Surfen im Internet – Updates für die genutzten Anwendungen sollten jedoch immer schnellstmöglich installiert werden. Jedes auf den eigenen Geräten installierte Programm birgt die potentielle Gefahr, aus dem Internet angegriffen zu werden. Aktuelle Schadsoftware kann bestehende Sicherheitslücken ausnutzen, bevor sie von Antivirenprogrammen erkannt wird. Die Angreifer nutzen dabei beispielsweise das Zeitfenster aus, in dem ein neu entwickelter Schadcode von der Antivirensoftware noch nicht erkannt wird. Daher versuchen Software-Hersteller fortwährend mit Updates und sogenannten Patches (englisch für „Flicken“), Sicherheitslücken in ihren Programmen zu schließen. So wird verhindert, dass Schadsoftware überhaupt wirksam werden kann. Virenschutzprogramme sollten natürlich trotzdem jederzeit aktuell gehalten werden. Denn sie bieten nur dann zusätzlichen Schutz, wenn ihre Viren-Signaturen durch Updates auf dem neuesten Stand gehalten werden. Informationen für ein Update- undPatchmanagement finden Sie hier.

Irrtum 3: „Ein einziges langes Buchstaben- und Zeichen-Passwort reicht für meine Online-Dienste vollkommen aus.“

Nein, denn sollte ein Online-Dienst kompromittiert und Ihr Passwort gestohlen werden, sind alle mit diesem Passwort geschützten Dienste in Gefahr.
Insbesondere bei der Verwendung von E-Mailadressen zur Authentifizierung lassen sich Nutzernamen und Passwort einander gut zuordnen. Daher ist ein gutes und sicheres Passwort unerlässlich – es sollte aber bei jedem Online-Dienst ein anderes Passwort genutzt werden. Besonders bei Diensten, die sensible Daten enthalten oder abfragen, ist auf ein starkes Passwort zu achten. Beispiele hierfür sind Zugänge zum Online Banking oder -Shopping. Grundsätzlich empfiehlt es sich, ein Passwort mit einer Länge von mindestens 12 Zeichen, Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern zu wählen. Das Passwort sollte nicht in Wörterbüchern vorkommen und kein Eigenname sein. Es kommt vor, dass Anbieter Einschränkungen bei der Vergabe von Passwörtern machen, zum Beispiel bei der Länge oder der Verwendung von Sonderzeichen. Dann sollten die Passwortempfehlungen des BSI zumindest so weit umgesetzt werden, wie es die Einschränkungen zulassen. Zudem sollten Kennwörter in regelmäßigen zeitlichen Abständen geändert und keinesfalls mehrfach für unterschiedliche Online-Dienste genutzt werden. Passwort-Verwaltungsprogramme geben Hilfestellung, denn sie können nicht nur die Passwörter verwalten, sondern auch sichere Passwörter generieren. Mehr Informationen zum Umgang mit Passwörtern geben wir hier.

Irrtum 4: „Ich surfe nur auf vertrauenswürdigen Seiten, darum muss ich mich nicht vor Cyber-Angriffen schützen.“

Leider können auch vertrauenswürdige Seiten hin und wieder von Schadsoftware betroffen sein.
Sie kann sich beispielsweise in Werbebannern verstecken und sich unbemerkt auf dem PC des Nutzers installieren. Es ist ratsam, sich nur auf vertrauenswürdigen Seiten aufzuhalten – vor Cyber-Angriffen ist man deshalb aber leider nicht geschützt. Anwender, die sich auf gängigen und bekannten Internet-Seiten mit seriösem Inhalt bewegen, wähnen sich oftmals in falscher Sicherheit vor Cyber-Attacken. Grundsätzlich gilt, dass Schutz immer dann erforderlich ist, wenn Nutzer im Internet surfen – unabhängig davon, welche Seiten sie dabei besuchen. Sogenannte Drive-by-Downloads, bei denen Inhalte ohne Zutun des Nutzers im Hintergrund heruntergeladen werden, und schädliche Scripts können auch über populäre Internet-Seiten erfolgen. Ein gründlicher Schutz durch Virenschutzprogramme und Firewalls – mit den oben genannten Einschränkungen – sowie regelmäßige Sicherheitsupdates ist trotz aller Vorsicht empfehlenswert.

Quelle: Bundesamt für Sicherheit in der Informationstechnik