Du, mein Browser, der ist so komisch. Kannst Du mal gucken?

Wenn ich mir so manchen Browser anschaue, kommt mir das kalte Gruseln. Grundsätzlich beginnt dann eine Diskussion über „Ja aber genau Dieser Browser (Austauschbar gegen Betriebssystem) ist doch besser, das sagt doch jeder!“. Außer acht gelassen werden dabei absolut grundlegende Dinge. Ich will keinen Streit vom Zaun brechen über die Qualität eines Browsers oder eines Betriebssystems, ich wünsche mir nur, dass jeder ihn richtig verwendet. Die Motivation für diesen Post nehme ich aus einem Facebook-Gruppenpost Ende letzten Jahres und einem Erlebnis heute. Dieser Post ist bestimmt nicht vollständig, enthält m.E. erst einmal das „Wichtigste“. Ich will ihn immer wieder als „Standardhowto“ verwenden, deswegen wird er mal zu mal wachsen.

Tipps zur korrekten Installation und Verwendung von Microsoft Windows und OSX gibt es am Ende des Beitrags. Hier geht es erst einmal um den Browser.

Nochmal: Es geht überhaupt nicht darum, welches Betriebssystem sicherer oder besser als das jeweils andere ist, sondern um die richtige Verwendung des jeweiligen und die adäquate Nutzung eines Browsers. Um genau letzteres – also den Browser – geht es also in diesem #Howto. Dass es keine 100% Sicherheit gibt, ist sicherlich bekannt. Dass Du jedoch das Eindringen in Deinen Rechner und die Nutzung Deiner Identität so weit wie möglich erschweren solltest, sollte auch Dir klar sein.

Updates: 01.09.2015 Erweiterte Hinweise zum Thema SSL/TLS und zum Verlassen des Schengen-Raumes mit technischen Geräten.

Möchtest Du, dass jede Webseite im Internet administrative Berechtigung über Deinen Computer bekommt?
Nein? Ja, warum erlaubst Du es dann? Spannend ist hier, in welchem Kontext der Browser geladen wird. Üblicherweise ist das ein „administrativer“. Soll bedeuten, der Anwender (also Du) hat den Rechner im Mediamarkt oder im Gravis-Store gekauft (Beispiel), seinen Namen eingegeben (sich registriert) und angefangen, damit zu arbeiten. Sei es aus Bequemlichkeit, Faulheit oder schlicht Unwissenheit, der Benutzer nutzt diesen Rechner grundlegend mit administrativen Rechten. Keinem ist bewusst, dass nicht nur der Browser selbst, sondern alle im Browser geladenen Plugins jetzt ebenfalls administrative Rechte über den Computer besitzen. Da mindestens 10% der deutschen Webseiten Malware bereitstellen und 1% der über Adserver verteilten Anzeigen ebenfalls Schadcode enthalten, ist die Wahrscheinlichkeit relativ hoch, dass der Anwender sich Schadcode einfängt. Ich kann Dir noch nicht einmal garantieren, dass diese Webseite frei von Schadcontent ist. Dabei muss der Anwender davon nicht einmal etwas mitbekommen. Auch externe, über Shell-Integration installierte Programme sind anfällig. Ein Beispiel: rtsp://adresse.com/video soll VLC öffnen. VLC ist veraltet. Der Anwender klickt auf den Link „Brandnew & Exclusive Iphone 6 Unboxing“. Im Stream des Fake-Videos ist Schadcode. VLC stürzt ab, das war’s aber. Der Anwender denkt nicht weiter darüber nach und hat vom Trojan Dropper, der über das mit administrativen Rechten gestartete VLC verteilt wurde, nix mitbekommen.

Ergo: Lege Dir ein neues Konto an. Versehe das Konto mit administrativen Rechten. Entferne die administrativen Rechte von Deinem eigenen Konto. Jedes Mal, wenn Software eine Veränderung außerhalb Deines Benutzerkontos an Deinem System vornehmen möchte, wirst Du in der Regel nach Benutzername und Kennwort des Administrators gefragt.

Weißt Du, was Plugins mit Deinem Rechner tun können, insbesondere, wenn sie veraltet sind?
Plugins verzögern nicht nur das Aufrufen von Webseiten oder den Browserstart allgemein, sie verbreiten auch die Angriffsfläche auf Deinen Computer massiv. Da Du Plugins nicht regelmäßig aktualisierst, wirst Du schneller Opfer eines Angriffs, auch wenn Dein Windows oder dein OSX aktualisiert wurde.

Ergo: Entferne Plugins, die Du nicht benötigst. Achte bei der Installation von Programmen darauf, dass Dir nicht ein Plugin für den Browser untergejubelt wird.

Weißt Du, was Plugins mit Deiner Privatsphäre machen?
Plugins werden nicht entwickelt, um Dir etwas zu schenken oder um Wohltätigkeit eines Unternehmens vorzugaukeln. Sie können unter Umständen zwar das Surfen erleichtern, sind jedoch in aller Regel dazu da, um Dein Surfverhalten aufzuzeichnen. Damit kann man eine Menge Geld verdienen und Anzeigen entsprechend platzieren. Man kann aber auch Informationen über Dich herausbekommen, welche dann geziehlt gegen Dich eingesetzt werden können. Das kann bis zu Werbeanrufen führen.

Ergo: Entferne Plugins, die Du nicht benötigst. Achte bei der Installation von Programmen darauf, dass Dir nicht ein Plugin für den Browser untergejubelt wird.

Ich habe da so einen Button/Menüeintrag, der heißt „Privates Surfen“, den kann ich doch nutzen?
Abgesehen davon, dass Du die vermeintlich von Dir gewollte Funktion von Cookies (später mehr) damit abschaltest und lediglich den Willen erklärst, privat surfen zu wollen, bewirkt dieser Button nichts. Einige Webseiten und Adserver halten sich daran, Deine „http-Anfrage“ vertraulich zu behandeln, allerdings wirst Du weiterhin aufgezeichnet. Dagegen kannst Du Dich nicht wehren. Dieser Vorgang ist sozusagen „by design“. Wenn Du wirklich anonym surfen möchtest, gebe ich Dir später in diesem Beitrag einen Tipp, mit dem Du, wenn Du es richtig machst, anonym surfen kannst.

Ergo: Der Button „Privates Surfen“ ist für Privates kommunizieren absolut wirkungslos.

Viele Webseiten, z.B. Focus, wünschen sich, dass ich Facebook Fan werde. Soll ich das?
Auch Facebook (stellvertretend für viele andere Social Media Plugins) und die Unternehmen, die in Facebook Anwendungen entwickeln, machen das nicht aus Barmherzigkeit. Sie wollen etwas über Dich wissen, z.B. Deine Surfgewohnheiten kennenlernen, sprich auf was Du so stehst und wer Du bist. Social Plugins können harmlos sein, sind es jedoch meistens nicht. Dein Facebook Cookie kann also verwendet werden, um Dich zu erkennen. Immerhin weiß Facebook also, wer Du bist. Auch wenn in diesem Beitrag eine Facebook Integration möglich ist, heißt das noch lange nicht, dass Du mir oder dieser Webseite vertrauen kannst. Immerhin weiß Facebook jetzt, dass Du hier warst, weil Du Dich vorher nicht von Facebook abgemeldet hast. Ich weiß nicht, ob Du das so gut findest, das musst Du selbst entscheiden. Weiterhin solltest Du nicht alles an Deine Facebook Freunde verteilen. XXX XXX hat ein Video angeschaut, ist vielleicht manchmal nicht ganz so sinnvoll. Du solltest sehen, ob es nicht eine Quelle außerhalb von Facebook gibt, die das Video ebenfalls für die Allgemeinheit zur Verfügung stellt.

Ergo: Entscheide selbst, ob Du die Informationen preisgeben möchtest.

Diese komischen IT-Freaks sagen immer, ich soll Flash und Java so nicht benutzen, warum?
Erstens: Es sind keine Freaks! Und zweitens ach, haben die noch nicht aufgegeben? Merkwürdig… Ja, sie haben recht. Und sehr sehr sehr recht noch dazu. Flash, PDF und Java Plugins sind die weltweit gefährlichsten die es gibt. Sie sind noch einmal gefährlicher, wenn sie nicht aktualisiert werden, also wenn Du z.B. unten rechts einen Button in Deiner Toolbar vom Adobe Updater siehst. Adobe und Sun kommen bei deren mächtigen Plugins nicht mehr hinterher, die Sicherheitslücken zu stopfen. Die drei genannten Plugins sind die am häufigsten verwendeten Plugins, um in Computer einzusteigen. Verwende sie möglichst nicht. Auch Youtube kann mit html5 benutzt werden, Du brauchst dafür kein Java. MyVideo geht nur mit Flash. Ja welchen Mehrwert bietet Dir MyVideo? Lass es. Wenn Du unbedingt Flash nutzen möchtest, kannst Du Google Chrome (nur dafür) verwenden, ohne Deinen Rechner gleich komplett mit Flash zu verseuchen. Das Flash kommt im Chrome gleich mit und läuft in einer Art Sandkasten ab, aus dem es Angreifer schwerer haben, auszubrechen. Flash wird auch geladen, wenn Du es gar nicht mitbekommst, ein 1×1 Pixel großes Element siehst Du zwar nicht, wird aber auch gerne genutzt, um Informationen über Dich einzuholen. Weiterhin verbraucht Flash Strom. Wenn man auf allen Computern in Deutschland Flash deinstallieren würde, bräuchte man ein Kohlekraftwerk weniger. Apple erreicht z.B. die für viele unglaublichen Akkulaufzeiten auf dem MacBook Air nur, wenn kein Flash installiert ist.

Ergo: Raus mit dem Flash, Java und der PDF Integration in Deinen Browser (Gilt nicht für OSX 10.6+ und Windows 8.1 integrierten PDF Reader).

TLS/SSL, was ist das und warum soll ich es benutzen?
Ein Beispiel: Hast Du in einem Starbucks mal Facebook benutzt? Ohne die Funktion „sicheres Durchstöbern“? Gut zu wissen. Die Wahrscheinlichkeit ist hoch, dass (sofern Du einen süßen, dunklen Lockenkopf hast, zierlich gebaut bist und dazu noch wunderschöne, große Augen hast;-)), dass in der Ecke so ein Idiot wie ich sitzt, und Deine Sitzung „mitsnifft“ und einmal quer durch Dein Profil wuselt. Deinen so genannten „Session-Key“ kriege ich sofort raus und ich kann dann damit machen, was ich will. Ich will nämlich wissen, wer Du bist und woher Du kommst und ob Du Single bist. Und da Du das mit dem Facebook stalken unverschlüsselt machst, darf und kann ich das, ganz legal. Das ist übrigens immer und überall so, auch bei Deinem Anschluss zuhause. SSL hilft Dir, dass es für Angreifer (Provider, BND, NSA, Vorratsdatenspeicherung) schon sehr mühsam bis (fast) unmöglich ist, in Deine Sitzung hineinzuschauen. Man sieht zwar eine Verbindung zu einem Server (Metadaten), jedoch in der Regel nicht deren Inhalt (Inhaltsdaten). Es ist eine Verschlüsselungsmethode, die zwar nach Snowden noch mehr bestritten und diskutiert wird, allerdings die einzig wirksame, um Deinen Datenverkehr geheim zu halten. Schau Dir das Zertifikat an, was der Webseitenbetreiber nutzt. Steht dort GoDaddy, Verisign oder Thawte, oder Deutsche Post eTrust, dann ist alles gut. Ist dort „Proxy Signing CA“ zu lesen, ist das weniger gut. Dann hast Du schon etwas auf Deinem Rechner, was Du dort lieber nicht haben möchtest und mitliest (In Ausnahmefällen bei Deinem Arbeitgeber möglich, denn der will auch mitlesen). Also: Verwende TLS/SSL immer möglichst überall, schaue z.B. ob die Webseite nicht auch über https:// und nicht nur über http:// erreichbar ist. Aktiviere „Sicheres Durchstöbern“ bei Facebook. Helfen kann Dir übrigens das Projekt „HTTPS Everywhere“ von der Electronic Frontier Foundation.

Update:
Gerne wird SSL für „Verschlüsselung“ als Synonym gebraucht. SSL ist aber inzwischen gebrochen (geknackt) und lediglich ein Verschlüsselungsstandard. Vertrauen kann man eigentlich nur noch dem Verschlüsselungsstandard TLS in bestimmten Versionen. Welche Verschlüsselung Du tatsächlich verwendest ist oftmals schwer zu erkennen. Schlechte Webseiten sind jedoch als solche schnell zu enttarnen. Unter https://www.ssllabs.com/ssltest/ kannst Du testen, ob der Server, den Du besuchen möchtest, sicher konfiguriert ist. Alles andere als das Testergebnis „Grade A“ solltest Du meiden und ggf. den Betreiber auf das Sicherheitsproblem hinweisen. Gerne darfst Du dazu auf diese Website verweisen.

Das Wort „Zertifikat“ war in diesem Absatz für Euch problematisch, da schwer zu verstehen. Das Zertifikat ist der öffentliche Schlüssel des Webservers, mit jenem der Datenverkehr zwischen Dir und dem Webserver verschlüsselt wird. Mit diesem Zertifikat stellst Du auch fest, dass der Server tatsächlich der Server ist, mit dem Du sprechen möchtest und nicht irgendein Dir vorgemogelter. So sieht ein richtiges Zertifikat in Apple Safari aus. Du findest das Zertifikat links neben der Adresszeile von z.B. https://www.java.com oder ähnlichen Webseiten:

Bildschirmfoto 2015-09-01 um 22.22.38

Findest Du dort einen Fehler, so würde ich der Website nicht mehr vertrauen. Viele Browser weisen auf Fehler innerhalb der Verschlüsselung unmittelbar hin. Es ist zweckdienlich, der Warnung Eures Browsers folge zu leisten.

Ergo: SSL ist sicher(er). Verwende es möglichst überall. 

Welche Plugins darf ich denn nutzen?
Es gibt nur wenige, die ich im Moment als sicher und hilfreich einstufe. Es gibt da z.B. Ublock Adblock (nicht Adblock plus, die sind ethisch nicht einwandfrei). Adblock hilft Dir, Werbung zu entfernen und kann dabei schon jede menge Schadcontent von Dir fernhalten. Ghostery wird Dir helfen, möglichst wenig Spuren im Netz zu hinterlassen. Wenn Du die Diskussion über scheinbar kaputtes SSL mitbekommen hast, wird Dir Cert Patrol im Firefox helfen können. Das sind dann auch schon die einzigen, die ich persönlich in jedem Browser verwende.

Ergo: Wähle Deine Plugins mit Bedacht aus.

Wie kann ich denn anonym surfen?
Gar nicht. Fraglich, ob Du das willst. OK, die beste Möglichkeit ist, TOR zu verwenden. Tor kann Deine Herkunft verschleiern. Jedoch nicht in allen Fällen alles, und grundsätzlich immer dann nicht, wenn Du es nicht richtig konfigurierst. Wenn Du Dich also – wie ich – schützen möchtest, um z.B. sichere Nachrichten zu Leakseiten zu versenden oder mit der Presse sicher kommunizieren möchtest, ist TOR eine gute Alternative. TOR ist für viele jedoch zu schwer zu konfigurieren und möglicherweise zu langsam. Die beste Möglichkeit ist das TAILS Projekt, welche für Anfänger ein sicheres OS für die sichere Kommunikation mitbringen. Dort ist TOR schon vorkonfiguriert. Du kannst mit TAILS Deinen Rechner über einen USB Stick oder eine DVD booten, damit Arbeiten, und danach wieder Deine gewohnte Umgebung durch einen Neustart herstellen. Nebenbei bietet Dir TAILS auch eine Menge mehr an Funktionen für die sichere Kommunikation mit anderen Diensten, z.B. Jabber.

Ergo: Verwende TAILS, wenn Du Dich möglichst anonym im Netz bewegen möchtest. TAILS befindet sich hier: Klick.

Wenn ich in den Urlaub fahre, da ist so ein Rechner im Hotel, soll ich den nutzen für so Mails checken oder Überweisungen machen, so?
Nein! Niemals. Verwende niemals Rechner in Internet-Cafés oder in der Hotel-Lobby. Lass es einfach. Mache Urlaub. Nimm im schlimmsten Fall ein Notebook mit, was Dir gehört. Vertraue keinem anderen Rechner als Deinem. Ersteres gilt ausschließlich für Reisen innerhalb der Schengen-Räume.
-> Für Reisen in folgende Länder: USA, Kanada, Australien, Neuseeland, China oder Russland, außerhalb der Schengen-Räume, sollte für Dich folgendes gelten: Nehme ein billiges Notebook, was Du nach der Reise vernichten kannst, das gilt ebenso für Dein Mobiltelefon. Nutze niemals deine persönlichen Geräte außerhalb der Schengen-Räume. Transportiere niemals persönliche oder sensible Daten auf Computern oder USB-Sticks in diese oder aus diesen Ländern.

Und mein Rechner?
Auch wenn ich nicht mit allen Empfehlungen des BSI d’Accord gehe, gibt es jedoch eine einfache und gute Anleitung des BSI zu OSX und Windows, wie Du Dich sicher verhältst und Deinen Rechner schützt.

Ergo: Lies‘ Dich ein! Du findest die Anleitungen hier: Klick

Kannst Du doch mal einen Blick auf meinen Rechner werfen? Hast Du Zeit?
Nein!

Veröffentlicht in Allgemein