Sicherheit im Internet

Vorwort

Ich wollte schon des Längeren darüber schreiben, weil mir über die Jahre hinweg aufgefallen ist, dass viele Menschen nicht wissen wie sie sicher im Internet surfen können, ohne der Gefahr zu unterlaufen z.B. einen Virus auf den Computer zu bekommen, oder das persönliche Informationen entwendet werden. Dies kann durch Schadsoftware auf dem Computer, oder dem fehlenden Verständnis dafür wie bestimmte Unternehmen mit unseren Daten umgehen, passieren. Im Folgenden möchte ich dir ein paar wesentliche Schritte präsentieren, wie ich tagtäglich versuche meine persönlichen Daten zu schützen, und dafür sorge so anonym wie möglich das Internet zu benutzen, wobei Letzeres eher optional ist. Hier möchte ich auch erwähnen, dass es keinen 100%-igen Schutz gibt, außer das Internet gar nicht zu benutzen, was in dieser modernen Zeit undenkbar ist, aber man kann seine Sicherheit drastisch erhöhen.

1. Misstrauisch sein

Was meine ich damit? Nun wenn du zum Beispiel eine Mail bekommst in welcher du angeblich etwas gewonnen hast von einer dubiosen Firma und dies jenes ausfüllen musst oder ein Programm installieren musst um den Preis zu erhalten, dann handelt es sich höchstwahrscheinlich um einen Betrug. Womit wir zunächst generell auf E-Mails zu sprechen kommen:

Emails

1. Überprüfen von wem die Mail kommt
   Schaue unbedingt nach wie die Mail-Adresse konkret aussieht und lass dich nicht von dem Namen täuschen. Viele Betrüger versuchen die Email-Adressen so überzeugend wie möglich aussehen zu lassen, z.B. wenn du die Adresse: support@paypa1.com betrachtest, dann fällt beim genauen Hinsehen auf, dass es der Domain von Paypal ähnelt aber nicht die echte Adresse ist, also bevor du überhaupt die Email liest schau zuerst von wem sie kommt und ob die Adresse legitim ist (Tipp: Gib die Email-Adresse online ein, wenn du dir nicht sicher bist ob sie legitim ist. So siehst du auch wie die echte Adresse aussieht von der Webseite oder dem Anbieter, welche diese Mail womöglich zu Imitieren versucht), weil so kannst du es direkt in den Papierkorb werfen und verschwendest deine Zeit nicht. Schaue auch nach, ob die Email von der Domain, von der die Email kommt signiert wurde, das siehst du in dem du z.B. in Gmail zuerst auf die Email-Adresse und dann auf Sicherheitsdetails ansehen tippst
   

2. Ist der Inhalt relevant für dich
   Was nun wenn der Absender legitim zu sein scheint? Wenn du dir die Mail jetzt durchliest und merkst, dass sie dir keinen Mehrwert bietet also z.B. dich versucht zu überzeugen etwas zu installieren oder etwas auszufüllen, indem du auf einen Link klickst dann solltest du wissen, dass die Mail höchstwahrscheinlich fake ist. Ich möchte hier auch etwas Wichtiges erwähnen: Wenn du zum Beispiel eine Mail bekommst und der Absender scheint echt zu sein, aber in der Mail wird verlangt, dass du dein Password eingeben sollst auf der Webseite die verlinkt ist in der Mail, dann solltest du spätestens hier wissen, dass es eine betrügerische Mail ist. Keine Plattform wird dich jemals fragen dein Password einzugeben, erst recht nicht per E-Mail. Das gilt auch per SMS, wobei bei einer SMS solltest du eigentlich jede Nachricht ignorieren, die nicht von einer Person kommt, die du kennst.
   

3. Links und Anhänge nicht anrühren
   Rühre einen Link, oder einen Anhang erstmal nicht an. Viele Menschen denken, dass sie durch einen Link allein gehackt werden können, dabei gibt es hier ein paar Dinge zu beachten. Einen Link aufzurufen kann folgende Szenarien auslösen, wenn er bösartig ist:

   1. Du wirst auf eine Webseite weitergeleitet, die automatisch eine ausführbare Datei runterlädt. Normalerweise passiert ab hier nichts mehr, sprich solange die Datei nicht ausgeführt wird, passiert auch nichts, zumal Dateien die runtergeladen werden standardmäßig nicht automatisch ausgeführt werden von deinem Browser (außer .pdf-Dateien)

   2. Du wirst auf eine Login-Seite weitergeleitet, wo du Anmeldedaten wie Benutzername und Passwort eingeben kannst. Vorsicht! Hier sollten bei dir die Alarmglocken läuten vor dem Ausfüllen dieser Anmeldeseite, denn du solltest zuerst die Domain überprüfen von dieser Webseite also schau in der Adressleiste wie die Domain heißt und überprüfe ob es genau die Domain ist von der Plattform auf der du dich anmelden kannst.

   3. Beim Aufrufen des Linkes, wird deine IP-Adresse, die Version deines Betriebssystems, sowie die Version deines Browsers ermittelt. Diese Informationen bekommt jede Webseite, sonst könntest du die Webseite gar nicht aufrufen, zumal IP-Adressen sich ändern, außer du hast eine statische, statt dynamische IP-Adresse.

   Mehr zum Thema Links in diesem Abschnitt.

   Wie ist es aber nun mit Dateien die durch einen Link heruntergeladen werden? Nun wenn die Datei die Dateiendung .exe hat solltest du die Finger davon lassen, erst recht wenn der Link aus einer Email stammt. Bei Dateien mit der .pdf Endung oder anderen Endungen wie .txt, .doc, .docx kann ich unbesorgt sein. Jedoch gibt es auch hier etwas zu beachten: Früher war es möglich bösartigen Code in Word Dokumenten einzubetten in sogenanten Macros, heutzutage werden diese Macros welche eigentlich nicht für bösartige Zwecke gedacht sind standardmäßig nicht mehr automatisch beim Öffnen der Datei ausgeführt. Solltest du aber eine Dateiendung sehen die dir nicht bekannt ist, dann ist hier Vorsicht geboten. In Windows zum Beispiel gibt es Dateiendungen wie zum Beispiel .pif welche eine ausführbare Datei darstellt. Hier könnte man jetzt denken, dass das vielleicht dieselbe Funktion wie eine .pdf-Datei erfüllt nämlich ein Dokument anzuzeigen, doch in Wahrheit ist .pif eine von vielen Dateiendungen die ausführbar sind sprich genau wie .exe-Dateien auch bösartige Anwendungen sein können. Nimm von solchen Dateien bitte Abstand bzw generell von ausführbaren Dateien die dir in Anhängen, auf Social Media oder sonst wo unterlaufen.

Links

Wenn du auf einen Link klickst und auf eine Webseite weitergeleitet wirst, auf der du dich anmelden kannst, dann solltest du wie oben erwähnt ein paar Dinge beachten:

1. Handelt es sich wirklich um die echte Webadresse?
   Viele Betrüger kopieren einfach das Layout einer Webseite, beispielsweise von Instagram und die Seite sieht täuschend echt aus, nur ist die Seite in Wahrheit nicht von Instagram in dem Fall, weil die Domain in Wirklichkeit eine andere ist. Wenn die Seite die Instagram Anmeldeseite ist, dann muss die Domain auch instagram.com lauten und nicht anders, überprüfe dies bei jeder Webseite, auf der du dich anmeldest. So etwas nennt man auch Phishing, also das “Fischen” von Anmeldedaten von Personen, die auf diese Masche hereinfallen. Dieser Angriff fällt unter die Kategorie Social Engineering und diesen kann man auch nicht als Hacking bezeichnen, vielmehr ist hier der Mensch die Schwachstelle, die ausgenutzt wird und nicht eine Sicherheitslücke in einem System, einer Anwendung oder einem Server. Das Vertrauen der Person wird hier missbraucht also.
2. Ist das Zertifikat der Webseite vertrauenswürdig bzw. ist die Webseite verschlüsselt?
   Um zu überprüfen, ob die Webseite verschlüsselt ist, reicht es nicht aus in der Adressleiste zu schauen ob die Domain mit https://, statt http:// startet, denn das Zertifikat der Webseite könnte ausgelaufen sein, wodurch die Verbindung nicht sicher ist. Überprüfe, ob neben der Domain eine Art Schloss Symbol steht, welches darauf andeutet, dass die Verbindung sicher ist. Um zu überprüfen, ob das Zertifikat gültig und vertrauenswürdig ist, klickst du z.B. in Firefox auf das Schloss Symbol und auf Verbindung ist sicher, so siehst du von wem das Zertifikat ausgestellt ist und wenn du auf Weitere Informationen klickst erfährst du bis wann das Zertifikat gültig ist. Ohne gültiges Zertifikat ist die Verbindung nicht sicher und Daten werden nicht verschlüsselt an den Webserver der Domain übermittelt.

Ich würde dir empfehlen nicht einfach blind auf einen Link zu klicken sondern erstmal zu schauen wohin dieser Link überhaupt führt. Ein Link kann dich z.B. auf eine andere Webseite weiterleiten, das sind meistens URL-Shortener. Um zu sehen, wohin dieser Link führt, bevor du ihn aufrufst, kannst du zum Beispiel die Webseite: https://www.whatsmydns.net/redirect-checker benutzen. Viele Links werden auch als Hyperlinks eingefügt, sodass man beim Klicken sofort auf diesen Link geleitet wird. Hier gibt es aber etwas zu beachten. Ein Hyperlink hat diese Form: [text](link), also zum Beispiel [Google](https://google.com): Google In den eckigen Klammern schreibt man wie der Link heißen soll und in den runden Klammern steht der Link selbst drin (Diese Art von Textformatierung nennt man Markdown, für Hyperlinks in Emails wird HTML-Code verwendet). Beachte hier, dass Betrüger auch einfach in den eckigen Klammern die Webseite die sie imitieren wollen schreiben können und in den runden Klammern ihre eigene Webseite reinschreiben, also zum Beispiel
[https://instagram.com](https://safebrowsing.google.com/safebrowsing/report_phish/?hl=de): https://instagram.com <= Fake Falle also bitte nicht auf so etwas rein und falls du dann doch auf der Webseite landest, dann schaue wieder auf welcher Webseite du dich befindest oben auf der Adressleiste deines Browsers. Hier ist es ratsam einfach den Link per Rechtsklick zu kopieren und ihn irgendwo z.B. in eine Textdatei einzufügen um zu schauen wohin er überhaupt führt.

SMS, Anrufe

1. Absender überprüfen?
   Hier gibt es etwas Wichtiges zu beachten: Anrufnummern können gefälscht werden, was unter dem Begriff Caller ID-Spoofing zu verstehen ist (Gleiches gilt auch für SMS (SMS Spoofing)). Das bedeutet, dass die Nummer, die beim Anruf angezeigt wird, oder in der SMS, durch einen Text geändert werden kann, um so die wahre Identität des Absenders zu verstecken, oder um das Opfer reinzulegen, indem ein Täter z.B. sich als deine Bank ausgibt, um z.B. deine Bankinformationen zu entwenden. Falle also nicht auf solche Maschen herein.

2. Inhalt überprüfen
   Da wie oben erwähnt die Adresse verändert werden kann, solltest du bei SMS-Nachrichten immer aufpassen, also wenn du z.B. siehst, dass du eine SMS bekommen hast, die Adresse 1 zu 1 dieselbe von einem deiner Kontakte ist du aber schon einen Chat mit der Person hast, dann solltest du merken, dass es sich um einen Betrug handelt. Auch solltest du niemals Anrufe entgegennehmen, die aus anderen Ländern stammen, das sind meistens Scam-Anrufe. Deine Bank, oder Plattformen auf denen du registriert bist, werden dir niemals Nachrichten per SMS schicken, die einzige Nachricht die du erhalten könntest wären 2FA Codes, wenn du 2-Faktor-Authentifizierung per SMS auf einem Online-Dienst aktiviert hast um dich anzumelden, mehr nicht. Andere Nachrichten einfach löschen. Wenn dir jemand mit einer neuen Nummer schreibt, von wegen er/sie hat jetzt eine neue Nummer, dann solltest du immer überprüfen, ob es sich wirklich um diese Person handelt.

Social-Media

Bei Social-Media ist es eigentlich nicht anders, hier solltest du dieselben Dinge wie oben beachten. Diese Schritte klingen vielleicht sehr paranoid, aber vertrau mir irgendwann entwickelst du ein Gespür für so was. Im Vergleich zu damals ist es heutzutage viel schwieriger, z.B. Accounts zu hacken, da viele Konzerne Abwehrmechanismen eingebaut haben, um ihre Systeme vor Angriffen zu schützen. Kommt zwar manchmal vor, dass Datenlecks entstehen, aber am Ende des Tages bist du selbst für deine Sicherheit im Internet verantwortlich. (Die größte Schwachstelle ist nicht das System, sondern meistens der Mensch selbst, da Vertrauen sehr oft missbraucht wird)

2. Passwörter

Was du beachten solltest

1. Jedes Password als Unikat
   Viele Menschen benutzen dieselben Passwörter auf nahezu allen Plattformen, die sie verwenden. Das Problem hierbei ist, wenn ein Account gehackt werden sollte, dann könnte ein Angreifer andere Plattformen ausprobieren und wenn du dort dasselbe Password verwendest, dann verlierst du die Accounts womöglich auch. Also jedes Password sollte einzigartig sein.
2. Schwierig zu erratene/starke Passwörter
   Deine Passwörter sollten nicht zu erraten sein, also z.B. nicht deinen Namen, dein Geburtsdatum, oder andere leicht zu erratene Dinge enthalten. Deine Passwörter sollten mindestens 9 Zeichen lang sein und schreib dir Passwörter lieber auf vor allem wenn du sehr viele Accounts haben solltest, kann es auch mal passieren dass du ein Password vergisst, da wie oben erwähnt Passwörter einzigartig sein sollten. Eine Alternative und auch die bessere Option wären Passwortmanager. Diese generieren sehr starke Passwörter und bewahren sie für dich auf und das einzige Password das du dir hier merkst ist dein Master-Password mit dem du auf deine Passwörter zugreifst in deinem “Tresor”(Der Ort an dem deine Passwörter gespeichert werden). Merk dir dieses Master-Passwort unbedingt und schreibe es dir zur Sicherheit auch irgendwo auf, weil wenn du dein Master-Passwort vergisst dann kannst du nicht mehr auf diese Passwörter zugreifen, da dieser Tresor die Passwörter verschlüsselt speichert und du nur mit dem Master-Passwort diese einsehen kannst. Auch solltest du ein Backup von deinem Tresor speichern als zusätzliche Sicherheitsmaßnahme.
   Wenn du keinen Passwortmanager benutzen möchtest, kannst du stattdessen versuchen eine Art “Algorithmus” für deine Passwörter zu verwenden. Als Beispiel: Du findest für jedes Passwort einen Satz, und von dem Satz nimmst du aus jedem Wort den zweiten Buchstaben und hinter den Buchstaben kommt die Anzahl der Buchstaben des Wortes und wenn diese Anzahl größer als 5 ist kommt ein Sonderzeichen dahinter, also z.B. für Spotify: “Dieses Passwort ist für die Spotify Anmeldung und ist sicher” => D6#P8#i3f3d3S7#A9#u3i3s6#. Jetzt hast du ein sehr starkes Passwort mit Klein- und Großbuchstaben, sowie Zahlen und Sonderzeichen, welches du dir gut merken kannst.

3. Updates

Ich würde dir raten deine Programme wie Word, Powerpoint, deinen Pdf-Reader und einfach generell alle deine Programme immer upzudaten und die Updates nicht schleifen zu lassen. Dasselbe gilt auch für die Aktualisierung deines Betriebssystems, also Windows, Android, IOS, MacOs. Stelle dein Handy, oder deinen Computer so ein, dass es Updates automatisch installiert, dann musst du die Updates nicht manuell starten.

4. Programme, Apps

Programme lädt man immer von der offiziellen Seite eines Produkts runter welches man haben möchte. Wenn ich eine Email bekomme wie zum Beispiel “Lade dieses Spiel X runter welches neu erschienen ist von Y”, dann lade ich das nicht einfach runter, sondern schaue es, wenn es mich überhaupt interessiert, auf der offiziellen Seite dieses Anbieters an und lade es dort runter. Wenn ich zum Beispiel Spotify auf meinem Computer runterladen möchte, dann gehe ich auf spotify.com und lade es dort herunter. Auf anderen Seiten, auf denen es angeblich auch runterladbar sein soll habe ich nichts zu suchen (Es gibt so viele Webseiten, die andere bekannte Webseiten imitieren und manchmal sogar in den Google-Suchergebnissen ganz oben zu sehen sind). Bei Apps ist es nicht anders, Apps sollten immer von dem ofiziellen Store des Betriebssystems runtergeladen werden.

5. Router

Da es verschiedene Routermodelle gibt, möchte ich hier ein paar wichtige Dinge ansprechen:

1. Router Passwort ändern
   Falls noch nicht geschehen, ändere unbedingt das Standard-Password von deinem Router, denn die meisten Standard-Passwörter von Routern bestehen nur aus Zahlen und solche Passwörter sind viel leichter zu knacken, als Passwörter mit Zahlen, Groß- und Kleinbuchstaben, sowie Sonderzeichen. Wenn das Router-Passwort geknackt wird, könnte ein Angreifer Malware in deinen Router platzieren, sowie deine Geräte in deinem Netzwerk ausspionieren.

2. Ändere die Standard DNS-Server deines Routers
   Dieser Schritt ist wichtig, denn der Anbieter deines Routers kann deine Suchanfragen sehen, also die Domainnamen, die aufgerufen werden. Außerdem sind die meisten DNS-Server veraltet und unterstützen vielleicht die neuesten Sicherheitsfeatures nicht. Hinzu kommt, dass viele Standard DNS-Server keine Werbung blockieren. Mehr zum Thema DNS, siehe hier

3. Schließe nichtbenutzte Ports
   Überprüfe auf deinem Router-Dashboard ob Ports offen sind, die nicht verwendet werden, denn offene Ports können angegriffen werden, wenn sie nicht gut geschützt sind. Port 443 und Port 80 sollten reichen, damit der Router funktioniert.

6. DNS

DNS (Domain Name System) ist so aufgebaut: Webseiten werden von Servern gehostet und sind durch ihre IP-Adresse(n) erreichbar. Damit man nun nicht im Browser die IP-Adresse(n) eingeben muss, um eine Webseite aufzurufen, gibt es Domain-Namen, mit welchen eine Website aufgerufen werden kann. Woher weiß jetzt der Browser, welcher Website eine Domain zugeordnet wird? Hier kommt DNS ins Spiel. DNS-Server speichern diese Informationen, also wenn du einen Webseiten-Namen in die Adressleiste eingibst, dann schickt der DNS-Server, welcher von deinem Netzwerk benutzt wird, eine Anfrage, welche IP-Adresse(n) diese Domain hat, damit die Webseiten-Inhalte angezeigt werden können. Die meisten DNS-Server die dein Netzwerk benutzt sind in deinen Router-Einstellungen gespeichert und die meisten DNS-Server sind veraltet und benutzen vielleicht noch plain-DNS, also DNS-Anfragen sind sichtbar, sowohl für deinen Internetdienstanbieter, als auch für Personen in deinem Netzwerk und auch für Apps, oder Programme auf deinem Gerät. Außerdem blockieren viele DNS-Server keine Werbung, also bestimmte Domains werden nicht blockiert. Hier wäre es gut, andere DNS-Server zu benutzen, die datenschutzfreundlicher sind und vor allem kein plain-DNS benutzen. Im Folgenden möchte ich dir kurz Technologien vorstellen, die sicherer als plain-DNS sind:

1. DoT (DNS over TLS)
   DoT verchlüsselt DNS-Anfragen über Port 853 über eine TLS-Verbindung. Die Anfragen sind viel sicherer und können nicht mehr ausspioniert oder manipuliert werden.
2. DoH (DNS over HTTPS)
   DoH hingegen nutzt ähnlich wie eine Webseite eine sichere Verbindung über das Protokoll HTTPS und bietet besseren Schutz als DoT, wohingegen DoT schneller als DoH ist. Viele DNS-Server ünterstützen DoH, doch DoT ist viel häufiger in DNS-Servern implementiert und manche Router unterstützen DOH nicht, weswegen aktuell DoH eine bessere Option für Browser darstellt, welche DoH unterstützen, und DoT eher für Router geeignet ist.

Es gibt viele DNS-Server, z.B. von Cloudflare, oder Google, jedoch sehen die Anbieter welche Domain-Namen aufgerufen werden, da nur die Verbindung verschlüsselt ist, die Anfrage ist dennoch sichtbar, denn die Server müssen wissen welche Website nun aufgelöst werden soll, deswegen ist es besser seinen eigenen DNS-Server zu haben. Ich hatte mal vor kurzem selbst einen eigenen DNS-Server gehostet gehabt, der sowohl DoH, als auch DoT unterstützt hatte, falls Interesse besteht könnte ich ein Tutorial veröffentlichen, wie man einen eigenen DNS-Server hostet, der auch Werbung blockiert.

Der Artikel wird im Laufe der Zeit erweitert und vervollständigt bzw. verbessert. Solltest du Ideen, oder Vorschläge für diesen Post haben, dann zögere nicht mir eine Mail an contact@thebekir.de zu schicken :)