Sicherheits-Irrtümer: Computer-Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik zeigt in einer mehrteiligen Reihe die größten Sicherheits-Irrtümer auf, welche ständig wiederholt und allzu schnell als Wahrheit hingenommen werden, ohne dass sie tatsächlich belegbar sind.

Im diesem Teil der Reihe des BSI „Sicherheits-Irrtümer im Internet“ geht es um das Thema „Computer-Sicherheit“. Es existieren Dutzende Missverständnisse, die ständig wiederholt und allzu schnell als Wahrheit hingenommen werden, ohne dass sie tatsächlich belegbar sind. Das BSI hat einige gängige Irrtümer identifiziert und zeigt auf, wie die Risiken, die aus einem falschen Verständnis von IT-Sicherheit resultieren, minimiert werden können.

Irrtum 1: „Wenn ich einen Virus oder ein anderes Schadprogramm auf dem Computer habe, macht sich dieser auch bemerkbar.“

Nicht immer kann ein Anwender feststellen, ob sich auf seinem Computer ein Virus oder anderes Schadprogramm eingenistet hat.
Es gibt verschiedenste Arten von Viren oder schädlichen Programmen, die Cyber-Kriminelle auf unterschiedlichen Wegen auf Computer oder mobile Geräte einschleusen können. Viele Schadprogramme, die unbemerkt auf einem Computer installiert sein können, verfügen über Funktionen zum Identitätsdiebstahl. Sie haben zumeist zum Ziel, den Nutzer auszuspähen, also beispielsweise Zugangsdaten oder Konto- und Kreditkartennummern auszuspionieren und können den Opfern einen erheblichen wirtschaftlichen Schaden zufügen.

Ebenfalls für den Nutzer vollkommen unauffällig verhalten sich Schadprogramme, die einem Angreifer die Fernsteuerung von infizierten Geräten ermöglicht. Diese Art von Schadcode wird beispielsweise durch E-Mail-Anhänge, das Öffnen einer speziell manipulierten Website oder den Klick auf einen infizierten Werbebanner heimlich in den Computer des Nutzers geschleust. Indem die Urheber etwa tausende von Computern mit der Software infizieren, können sie damit Angriffe auf Webseiten (DDoS-Attacken) starten, um diese lahmzulegen, oder sie für massenhaften Spam-Versand missbrauchen. Zwar gibt es keinen hundertprozentigen Schutz vor diesen Bedrohungen, insbesondere, wenn sogenannte Zero-Day-Exploits ausgenutzt werden. Jedoch können Anwender mit Maßnahmen wie einer Virenschutz-Software und Firewall sowie der umgehenden Installation von Software-Updatesund einem vorsichtigen Umgang mit E-Mail-Anhängen ihren Schutz erhöhen. Auch sollten Anwender große Vorsicht walten lassen, wenn sie Software oder andere Daten aus unbekannten Quellen herunterladen oder installieren. Im Zweifel sollte stets darauf verzichtet werden. Hier finden Computernutzer eine Reihe weiterer Tipps, wie sie sich und ihren Computer bestmöglich vor Angriffen aus dem Internet schützen können.

Irrtum 2: „Ich habe nichts zu verbergen und keine wichtigen Daten, also bin ich doch kein Ziel für Cyber-Kriminelle und muss mich deshalb nicht schützen.“

Diese Ansicht ist grundlegend falsch, da Cyber-Kriminelle alle verfügbaren Daten für ihre Zwecke nutzen können.
Jeder, der mit einem ungeschützten Gerät im Internet surft, einkauft oder Online-Banking betreibt, nutzt und hinterlässt eine Vielzahl an Daten, für die sich Cyber-Kriminelle interessieren. Das sind nicht unbedingt die auf dem Rechner gespeicherten Urlaubsfotos, Korrespondenzen oder andere private Dokumente. Von einem ungeschützten Rechner können Kriminelle dort gespeicherte oder im Internet übertragene Zugangs-, Konto- und Kreditkartendaten leicht stehlen und missbrauchen. Auf ungeschützten Systemen können sich zudem Schadprogramme wie Ransomware einnisten. Die Urheber dieser Programme können den befallenen Computer so verschlüsseln, dass der Nutzer seine Daten nicht mehr lesen kann. Der Nutzer erhält lediglich eine Meldung, einen bestimmten Geldbetrag (Ransom = engl. Lösegeld), zumeist über verschleierte Kanäle wie der Internetwährung Bitcoins, zu bezahlen, damit er wieder an seine Daten kommt. Spätestens dann stellen viele häufig fest, dass sie doch schützenswerte Daten wie Urlaubs- oder Familienbilder haben. Auch können unzureichend abgesicherte Geräte schnell Bestandteil eines Botnetzes und für kriminelle Zwecke missbraucht werden.

Irrtum 3: „Meine Daten sind doch in der Cloud, darum brauche ich kein Back-up.“

Das ist so nicht richtig. Durch die Nutzung einer Cloud ist nicht garantiert, dass die Daten immer verfügbar sind.
Zwar bietet die Datenspeicherung in der Cloud eine Reihe von Vorteilen: die vom Anbieter bereitgestellten Sicherheitsmechanismen, die Möglichkeit des Zugriffs auf die eigenen Daten über das Internet jederzeit und von jedem Gerät aus, sowie das Einsparen von Speicherplatz vor allem auf mobilen Geräten. Es gibt Cloud-Dienste, deren Sicherheit und auch die Verfügbarkeit hoch sind. Dennoch kann der Fall eintreten, dass der Nutzer nicht mehr auf seine Daten zugreifen kann. Technische Probleme, Ausfälle beim Dienstleister oder gar die Einstellung eines Cloud-Dienstes sind mögliche Gründe. Es ist also unerlässlich, wichtige Daten nicht nur an einem Ort – wie in einer Cloud – zu speichern, sondern regelmäßig Back-ups, also Duplikate der Daten, auf einem (externen) Speichermedium zu erstellen. Dabei sollte bedacht werden, dass auch Geräte, Festplatten und Speichermedien unerwartet kaputt oder verloren gehen können oder gestohlen werden. Umfassende Tipps zur Datensicherung haben wir hier zusammengestellt. Was bei der Nutzung von Cloud-Speichern zu beachten ist, lässt sich hier nachlesen.

Irrtum 4: „Wenn ich alle Daten von meinem Gerät lösche und anschließend den Papierkorb leere, sind die Daten ein für alle mal weg.“

Falsch. Um Daten unwiederbringlich von einem Datenträger oder aus einem Gerät zu entfernen, sind zusätzliche Schritte nötig.
Wenn Nutzer ein altes Gerät oder ein nicht mehr benötigtes externes Speichermedium verkaufen beziehungsweise entsorgen möchten, sollten sie sicherstellen, dass vorher alle Daten sicher gelöscht wurden, um einem möglichen Missbrauch vorzubeugen. Durch das Verschieben von Dateien in den Papierkorb bleiben die Dateien vollständig auf dem Speichermedium erhalten. Auch nach Leeren des Papierkorbs lassen sich Daten mit wenig Aufwand wieder herstellen, da bei diesem Vorgang lediglich die Verweise auf die Daten im Index, dem Inhaltsverzeichnis der Festplatte, gelöscht werden und der Bereich zum Überschreiben freigegeben wird. Einzig das Überschreiben von Daten lässt diese bei bestimmten Speichermedien auf Nimmerwiedersehen verschwinden. Um Daten endgültig und sicher zu löschen, sollten am besten spezielle Programme zum Einsatz kommen. Nähere Informationen dazu finden Sie hier. Speichermedien wie zum Beispiel SSD oder USB-Sticks, die auf Flash-Technik beruhen, lassen sich für einen Nutzer überhaupt nicht sicher löschen. Falls ein Gerät oder Speichermedium ohnehin nicht weitergegeben werden soll oder sich aus anderen Gründen nicht überschreiben lässt, sollte es physikalisch zerstört werden. Nur so kann eine Wiederherstellung der Daten unmöglich gemacht werden. Nutzer sollten dabei jedoch vorsichtig sein, um Verletzungen durch Splitter oder ähnliches zu vermeiden.