• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Security
  • Motivation
  • Rechner sicher machen
  • Umgang mit Passwörtern
  • Die Anti-Virus-Seite
  • Windows Server Update Service
  • Rechner geknackt - was tun?
  • PATH-Variable in Unix
  • AFS und Sicherheit
  • E-Mail und Sicherheit
  • Phishing
  • Konfiguration von 'pine'
  • Sichere Institutsnetze
  • Virtuelle Firewalls
  • Secure Shell (SSH)
  • SSH-Client PuTTY
  • SCP/SFTP-Clients WinSCP
  • Online-Informationen, Literatur
  • Brief der LRZ-Leitung
  • Bearbeitung von Abuse-Fällen
  • Informationen zum DFN-CERT
  • LRZ-Dienste zur Sicherheit
  • Kurs: Sicherheit (für Benutzer)
  • Vortrag: Schattenseiten des Internet
  • Kurs: Sicherheit (für Unix-Admins)
  • Security-Vorträge

ALIs

kommt noch

Wie mache ich meinen Rechner sicherer ? - Ein paar 'Bauernregeln'

Informationen und Hinweise

Diese Seite entstand auf Anregung zahlreicher Teilnehmer(innen) an unseren Kursen "UNIX-und Internet-Security für Benutzer" bzw. "Einführung in die System-Verwaltung unter UNIX" und wird regelmässig überarbeitet. Die Informationen überlappen sich zum Teil, damit Sie jeden Abschnitt auch einzeln lesen können, ohne sich durch den gesamten Text arbeiten zu müssen.
Insbesondere weniger erfahrene Benutzer(innen) haben sich einfache Tipps & Tricks gewünscht, damit "man/frau sofort in kurzer Zeit schon was machen kann". Im folgenden finden Sie also ein paar Regeln, die sich in der Praxis als hilfreich herausgestellt haben. Wenn Sie diese Regeln beachten, sind Sie selbstverständlich nicht alle Sorgen los, aber Sie haben schon sehr viel getan - vermutlich mehr, als (leider !) die meisten Computer-Benutzer(innen). Die Regeln sind bewusst sehr allgemein gehalten, da sie für möglichst alle Plattformen anwendbar sein sollen. Wenn Sie es genauer wissen wollen, besuchen Sie doch mal den Kurs "UNIX- und Internet-Security für Benutzer" oder klicken Sie die auf dieser Seite angegebenen Links an.
Außerdem werden auf dieser Seite keine "Kochrezepte" vorgestellt (im Sinne von "technischen Details"). Es geht vielmehr darum, dass Sie ein Gefühl dafür entwickeln, wo normalerweise Schwachpunkte eines Systems liegen (können) und was man mit einfachen Mitteln dagegen tun kann. Auch bei Rechner-Sicherheit gilt das "Zahnarzt-Motto":

"Vorbeugen ist besser als Bohren"   :-)

Sollten Sie Anregungen zur Verbesserung dieser Seite haben, schicken Sie bitte eine Mail an

eilfeld@lrz.de

---

Wozu "Bauernregeln" ?

Die meisten Leute denken, dass v.a. geniale Hacker aus dem Internet einzelne Rechner angreifen und dass man/frau gegen diese Leute normalerweise sowieso keine Chance hat. Alle bisherigen Erfahrungen haben aber gezeigt, dass mindestens 75 % aller erfolgreichen Angriffe (diese Zahl ist nicht übertrieben !) ohne die Sorglosigkeit bzw. Unwissenheit der Opfer nicht möglich oder nicht so erfolgreich gewesen wären.
Viele Angriffe (natürlich nicht alle) sind vermeidbar, wenn Sie folgende einfachen Regeln konsequent berücksichtigen. Das kostet weniger Arbeit als Sie denken (v.a. eine veränderte Einstellung) und bringt mehr, als Sie vielleicht meinen.

Entscheidungshilfe:

Versuchen Sie immer, Ihren Rechner / Ihre Kennung z.B. mit Ihrer Wohnung / Ihrem Auto / Ihren Schecks zu vergleichen und beantworten Sie sich folgende Fragen:

• Würde ich einem flüchtigen Bekannten meinen Wohnungs- / Auto-Schlüssel geben ?
• Würde ich meine Wohnung / mein Auto unverschlossen zurücklassen, wenn ich in die Arbeit gehe oder sogar mehrere Wochen in Urlaub fahre ?
• Würde ich meine Scheckkarte und die dazugehörige Pin einfach so herumliegen lassen ?
• Würde ich meine Scheckformulare prophylaktisch blanko unterschreiben, weil das vielleicht irgendwann Arbeit spart ?
• u.s.w.

Behandeln Sie Ihren Rechner / Ihre Kennung also zumindest so sorgfältig wie Ihre Wohnung, Ihr Auto oder Ihre Schecks. Dann haben Sie zwar keine Garantie, dass Ihnen nichts passieren wird, aber Sie haben Ihre Aussichten drastisch verbessert, dass Hacker sich sorglosere Opfer suchen werden.

Was Sie grundsätzlich wissen sollten (Hintergrund / Umfeld)

Bewusstheit und Information sind das Wichtigste !

Die allermeisten Sicherheitslöcher entstehen dadurch, dass man/frau nicht Bescheid weiß, dass es überhaupt ein Problem gibt. Außerdem sind Hacker recht kommunikativ und tauschen regelmäßig die neuesten "Tipps & Tricks" aus der Szene aus.
Es gibt auch "Hacker wider Willen". Manche Benutzer(innen) und auch Administrator(inn)en kennen sich noch nicht so gut aus und machen dann Fehler, deren Auswirkungen zunächst wie ein Einbruchs-Versuch aussehen oder im schlimmsten Fall sogar Möglichkeiten für einen Einbruch erst schaffen. Letzteres ist deshalb besonders heimtückisch, weil die neu entstandenen Sicherheitslücken oft sehr spät oder garnicht entdeckt werden, weil niemand mit dieser Möglichkeit rechnet (es gibt aber sehr wahrscheinlich irgendwo einen Hacker, der sie früher oder später finden wird...) .

Berücksichtigen Sie also folgendes:

• Informieren Sie sich ! Lesen Sie regelmäßig einschlägige Publikationen, News-Gruppen etc. Schreiben Sie sich in Sicherheits-relevanten Mailing-Listen ein. Weitere Informationen finden Sie in den Links auf unserer Security-Seite.
• Überlegen Sie sich, was Sie schützen wollen und wie wichtig Ihnen die zu schützenden Daten sind ("Alltags- Korrespondenz" oder Diplomarbeit ?). In Abhängigkeit davon sollten Sie gestufte Sicherheitsmaßnahmen ergreifen.
  Als Entscheidungshilfe können Sie auch hier die "Wohnungs-/Auto-/Scheck-Analogie" heranziehen: Will ich eine kostbare Briefmarkensammlung oder nur ein paar Sperrmüll-Möbel schützen ?
• Fragen Sie im Zweifelsfall Ihre(n) Administrator(in), was genau Sie tun können / unbedingt tun sollten. (Allerdings sollten Sie vorher unbedingt nachsehen, ob nicht bereits die Security-Webseiten Ihres Instituts oder die des LRZ Ihre Fragen beantworten können.)
• Ziehen Sie Ihre persönlichen Sicherheitsmaßnahmen konsequent durch ! Es nutzt überhaupt nichts, wenn Sie in einer Einmal-Aktion für verbesserte Sicherheit sorgen und danach wieder in die bisher gewohnte Sorglosigkeit zurückfallen.

Die meisten Hacker gehen dilettantisch vor.

Der "geniale Hacker", der so oft durch die Presse geistert, ist (zum Glück !) die große Ausnahme. Die allermeisten Hacker sind Gelegenheits-Hacker und/oder Dilettanten. Sie können (zumindest im Umfeld von Forschung und Lehre) von folgendem ausgehen:

• Sehr oft sind Hacker Schüler und Studenten, die "einfach mal ausprobieren" wollen, was sie gerade im Internet gelesen haben. Derartige Hacker sind selten bösartig, d.h. richten nicht mutwillig Schaden an.
  Natürlich kann es trotzdem passieren, dass der Hacker Schaden verursacht, ohne es zu wollen.
• Oft macht man/frau auch Fehler. Das kann zur Folge haben, dass der Eindruck entsteht, ein Einbruch hätte stattgefunden.
• Natürlich können Sie sich nicht auf die guten Manieren des Hackers verlassen. Benachrichtigen Sie also auf jeden Fall Ihren Administrator / Ihre Administratorin.
• Sollten Sie wirklich an einen bösartigen und/oder genialen Hacker geraten sein, hilft allerdings nur noch beten oder geniale Administratoren ...
  Was Sie in diesem Fall wissen/tun sollten, finden Sie im Punkt Katastrophen-Management.

Sichern Sie Ihre gesamten Daten (mindestens aber die wichtigsten) regelmäßig !

• Minimal-Lösung:
  Kopieren Sie zumindest Ihre wichtigsten Dateien auf Diskette (auch eventuelle Betriebssystem- oder Anwendungs-Modifikationen, also die entsprechenden Konfigurations-Dateien).
• Wenn Sie die Möglichkeit haben, nutzen Sie ein professionelles Backup-/Archiv-System. Am LRZ wird z.B. ADSM eingesetzt.

Spezielle Tipps für PC-Benutzer(innen)

Windows-PC's sind prinzipiell unsicherer als UNIX-PC's oder -Workstations.

Wie der Name schon sagt (Personal Computer) waren PC's ursprünglich als Einzelplatz-Systeme (d.h. für die Nutzung durch nur 1 Person) vorgesehen. Dass es irgendwann einmal PC-Netze geben würde, war damals nicht absehbar. Diese Entwicklung hat wichtige Konsequenzen:

• Jeder Rechner kann prinzipiell nur so sicher sein, wie er konfiguriert wurde. Wenn also Administratoren (bei öffentlichen Rechnern) oder Sie selbst (bei Ihrem privaten Rechner) nur wenige oder im schlimmsten Fall gar keine Sicherheits-Maßnahmen ergreifen, ist Ihr Rechner für potentielle Hacker ein offenes Scheunentor.
  Auf gar keinen Fall können Sie sich darauf verlassen, dass die Voreinstellung bei der Neu-Installation eines Rechners in Hinblick auf Sicherheit konzipiert wurde. Normalerweise steht eher Bequemlichkeit im Vordergrund.
  Dies gilt sowohl für Windows- als auch für Linux-Rechner. Misstrauen Sie also auf jeden Fall der mitgelieferten Voreinstellung. Normalerweise ist es immer besser, alles zu verbieten, was nicht explizit erlaubt ist.
  Grund :
  Zu restriktive Rechte bemerkt man selbst oder die zuständigen Administratoren in der Regel recht schnell, weil dann bestimmte Dinge überhaupt nicht funktionieren oder jedenfalls nicht so wie sie sollten. Zu großzügige Rechte bleiben sehr oft lange Zeit unbemerkt und schaffen damit unnötige Angriffspunkte für Hacker.
• Momentan ist es so, dass v.a. Windows-PC-Betriebssysteme (leider) nicht in Hinblick auf Sicherheits-Eigenschaften konzipiert werden. Gehen Sie also vom schlimmsten Fall aus: Es gibt zahlreiche Sicherheits-Lücken die Sie nicht kennen (oder die überhaupt noch niemand kennt und ein Hacker als erstes herausfindet).
  Windows-NT-Rechner können dabei i.a. sehr viel sicherer gemacht werden als Windows95/98-Rechner. Trotzdem sind derzeit UNIX-Rechner i.a. signifikant sicherer, sofern auf beiden Plattformen die vorhandenen Möglichkeiten weitgehend ausgeschöpft werden.
• Hochsensible Daten (z.B. Personal-Daten, Patienten-Daten, sensible private Daten) sollten auf keinen Fall auf einem Windows-PC gelagert werden, der am Netz hängt. Wenn Sie nicht auf einen UNIX-Rechner ausweichen können, nehmen Sie einen derart verwendeten PC vom Netz (der PC darf dann wirklich nie am Netz hängen).

Weitere Informationen finden Sie auf folgenden Webseiten:

• Schutz von NT-Rechnern
• Schutz von Linux-Rechnern
• Schutz von Macintosh-Rechnern
  Derzeit gibt es leider noch keine speziellen Informationen zu diesem Thema. Eine entsprechende Übersicht wird gerade von der Informatik (TUM) erarbeitet und sobald wie möglich hier eingehängt.

  Sollten Sie selbst entsprechende Übersichten kennen, sind wir für Informationen jederzeit dankbar. Schicken Sie einfach eine Mail an

  eilfeld@lrz.de

Spezielle Tipps für Linux-Benutzer(innen)

Die Standard-Installations-Prozedur gängiger Linux-Systeme ist vor allem auf maximalen Komfort ausgelegt, d.h. im laufenden Betrieb sind in der Regel viel mehr Dämone aktiv als Sie bei Ihrer Arbeit benötigen.
Bedenken Sie aber: Jeder laufende Dämon ist ein potentieller Angriffspunkt für Sabotage-Tools. De-aktivieren Sie also alle Dämone, die Sie nicht brauchen. Welche konkret das im Einzelfall sind, hängt u.a. von Ihrer Linux-Distribution (z.B. SuSE oder Red Hat) und von Ihrem Verwendungszweck ab (Wenn Sie z.B. News nicht einsetzen, brauchen Sie auch keinen News-Dämon).
Fragen Sie also im Zweifelsfall erfahrene Linux-Benutzer(innen) oder Ihre(n) Administrator(in).

Beachten Sie auch die weiterführenden Informationen zum Schutz von Linux-Rechnern.

Verwenden Sie unbedingt Viren-Scanner !

Exkurs :   Ein paar wichtige Begriffe

• Virus :
  Ein Computer-Virus ist ein Programm-Teil, der sich wie ein biologischer (z.B. Grippe-)Virus verbreitet, d.h. er kopiert sich in andere Programme, Boot-Sektoren von Daten-Trägern (z.B. Disketten, Platten) oder in Dokument-Dateien (bei Makro-Viren). Die "Nutzlast" des Virus enthält Anweisungen für Aktionen, die zusätzlich zur reinen Infektionstätigkeit ausgeführt werden sollen. Diese Aktionen reichen von der Ausgabe von harmlosen Meldungen ("Killroy was here") bis zur Formatierung Ihrer Festplatte.
  Der Virus kann allerdings erst aktiv werden, wenn die "Träger-Datei" aktiviert wird, d.h. wenn Sie die betreffende Datei öffnen (z.B. einen Word-Text) oder das betreffende Programm starten (z.B. ein Spiel oder einen Bildschirm-Schoner).
  Anmerkung: Wenn Sie Dateien, die Makros enthalten könnten (z.B. Word-Dateien) nur "anschauen", aber nicht öffnen (Einstellung "view" statt "open"), werden Makros nicht ausgeführt. Makro-Viren können dann auch keinen Schaden anrichten. Beim Start von Programmen gibt es leider keinen vergleichbaren Sicherheits-Modus.

  Einführende Erläuterungen und diverse Links zur Virenproblematik finden Sie auf entsprechenden Seiten des LRZ und der Uni Hamburg.

• Wurm :
  Würmer können von selbst "Löcher in den Boden bohren". Das bedeutet:
  Ein Computer-Wurm ist ein eigenständiges Programm. Anders als bei Viren ist ein Wurm jedoch nicht darauf angewiesen, dass Sie ein Anwendungs-Programm (z.B. Word) starten. Der Wurm greift vielmehr Betriebssystem-Prozesse an (die sowieso "immer" ablaufen oder bei Bedarf automatisch gestartet werden) und nutzt diese für sich aus. Außerdem muss es nicht unbedingt der Fall sein, dass sich ein Wurm dauerhaft in ein Programm einbaut. Manchmal benutzt er laufende Prozesse nur jeweils nach Bedarf (z.B. um sich von einem Ort zum anderen transportieren zu lassen). Die "Nutzlast" des Wurms entspricht in etwa der von Viren. Auch hier reicht die Spanne von harmlosen Meldungen bis zur Zerstörung Ihrer Festplatte.
• Trojanisches Pferd :
  Ein Trojanisches Pferd gibt vor, etwas Vernünftiges zu tun (und tut das dann auch), erledigt aber im Hintergrund zusätzlich noch andere Arbeiten (z.B. Passwörter mit-protokollieren). Trojanische Pferde werden oft in Spiele oder Bildschirm-Schoner eingebaut.

  Weitere Informationen zu Trojanischen Pferden (u.a. eine aktuelle Liste) finden Sie hier.

• Unterschiede zwischen Viren / Würmern und Trojanischen Pferden :
  Viren oder Würmer werden meist unbemerkt verbreitet. In der Regel weiß man nicht einmal, daß man selbst zum Fortschreiten der "Infektion" beigetragen hat. Im Gegensatz dazu ist es zur Aktivierung von Trojanischen Pferden erforderlich, ein bestimmtes Programm aktiv aufzurufen. Normalerweise ist dies eine bewußte Handlung und die Herkunft Trojanischer Pferde ist deshalb auch leichter nachzuvollziehen.
  Konsequenz:  "Sabotage-Programme" werden meist über Viren oder Würmer verbreitet. Trojanische Pferde dienen in der Regel dazu, "Spionage-Programme" einzuschleusen, d.h. sie richten normalerweise keinen einfach erkennbaren Schaden an, protokollieren aber z.B. Ihr Paßwort oder andere persönliche Daten mit (und schicken diese z.B. an eine bestimmte E-Mail-Adresse).
• Hoaxes ("Pseudo-Viren") :
  Manche Leute finden es komisch, Warnungen über Viren zu verbreiten, die garnicht existieren (ein bekanntes Beispiel ist der Pseudo-Virus Good Times, der angeblich die lokale Festplatte neu formatiert und diversen anderen Schaden anrichtet). Mails, die derartige Meldungen enthalten, richten selbst keinen Schaden an. Der eigentliche Virus ist in diesem Fall die Botschaft selbst, da sie von verunsicherten oder sogar zutiefst beunruhigten Benutzer(inne)n in bester Absicht nach dem Schneeball-Prinzip weiterverbreitet wird und dadurch noch mehr Leute verunsichert.
  Eine Übersicht über solche sogenannten "Hoaxes" finden Sie bei der TU Berlin.
  Nehmen Sie aber trotzdem jede Viren-Warnung ernst und fragen Sie im Zweifelsfall Ihre(n) Administrator(in) - allerdings bevor Sie die Warnung in Panik an alle möglichen Leute weiterschicken. Trotzdem ist es auf jeden Fall besser, auf einen Scherz zuviel hereinzufallen, als eine echte Warnung nicht ernst zu nehmen.
• Makroviren :
  Einige Anwendungs-Programme (z.B. Word, Excel) bieten eine eigene Programmiersprache an, um die Bearbeitung von Dokumenten etc. mit Hilfe sogenannter Makros (Befehlsfolgen) zu erleichtern und in gewissem Umfang zu automatisieren. Diese Programmiersprachen sind meist sehr mächtig und können deshalb auch missbraucht werden, um damit Sabotage-Tools zu erstellen. Makroviren werden jedoch erst aktiv, wenn Sie das betreffende Dokument öffnen. Im "View-Modus" (nur anschauen) kann nichts passieren; leider gibt es nur bei einigen Anwendungs-Programmen einen View-Modus.
  Nähere Informationen über bekannte Makroviren (insbesondere für MS-Word, Excel, Access und Amipro) finden Sie hier.
• Anmerkung: Gefährdung von UNIX-Systemen:
  Natürlich gibt es auch Viren etc. für UNIX-Systeme (z.B. für Linux). Diese sind aber im Moment nur sehr wenig weit verbreitet, da sich Hacker auf Windows-PC's mit sehr viel weniger Aufwand viel größere Erfolgserlebnisse verschaffen können.

Allerdings stehen Sie dem Feind nicht völlig wehrlos gegenüber. Es gibt Programme, die nach bekannten Sabotage-Programmen fahnden und diese beseitigen oder zumindest eine Warnung ausgeben (sogenannte Viren-Scanner). Allerdings sind diese Programme naheliegenderweise bei neuen Viren, Würmern und Trojanischen Pferden hilflos.
Nähere Informationen zu Sabotage-Tools und Viren-Scannern erhalten Sie auf folgenden Web-Seiten:

• Dr. Solomons's anti-Virus Toolkit
• Anti-Viren-Links der Uni Hamburg
• Virus-Test-Center der Uni Hamburg
• Pro-Virus Enzyklopädie
• McAfee Virus Library

Spezielle Tipps für AFS/DFS-Benutzer(innen)

Die Seite zur Information über Security-Aspekte von AFS / DFS ist noch im Aufbau und wird von unseren AFS-/DFS-Verantwortlichen sobald wie möglich ausgebaut und laufend aktualisiert. Weitere Informationen zu diesem Thema erhalten Sie auf folgenden Web-Seiten:

• u.a. NT-spezifische Informationen
• u.a. Linux-spezifische Informationen
• Diskussions-Forum für Fragen

Umgang mit Kennungen und Passwörtern

Verwenden Sie gute Passwörter !

Ein gutes Passwort hat folgende Eigenschaften:

• Es muss überhaupt ein Passwort gesetzt sein !
• Wenn Sie eine neue Kennung bekommen, ändern Sie sofort Ihr Passwort ! Oft ist das zuerst gesetzte Passwort nämlich eine allgemein bekannte lokale Voreinstellung oder (noch schlimmer !) ein allgemein bekanntes Passwort (z.B. 'guest', 'public' o.ä.).
• Ihr Passwort lautet nicht genauso wie Ihre Kennung.
• Ihr Passwort ist nicht Ihr Vor-/Nachname oder identisch mit Daten aus Ihrem persönlichen Umfeld (z.B. Geburtstag, Spitzname, Auto-Nummer).
• Es ist nicht zu kurz (d.h. normalerweise mindestens 8 Zeichen lang).
  Beachten Sie bitte:
  • Passwörter, die kürzer als 7 Zeichen sind, können bereits mit einem "billigst-PC" in wenigen Stunden (d.h. in akzeptabler Zeit) durch bloßes ausprobieren geknackt werden.
  • Manche Betriebssysteme erlauben die Eingabe von Passwörtern, die länger als 8 Zeichen sind. Sehr oft werden dann aber trotzdem nur die ersten 8 Zeichen ausgewertet und der Rest ignoriert. 'peilfeld124' und 'peilfeld796' wären dann also aus Betriebssystem-Sicht identisch (nämlich 'peilfeld').
    Abgesehen davon ist es natürlich keine besonders gute Idee, den eigenen Namen als Passwort zu verwenden   ;-]
• Es ist nicht so "gewöhnlich", dass es vermutlich in Hacker-Wörterbüchern auftaucht. Also vermeiden Sie Wörter, die in normalen Wörterbüchern (Duden, Brockhaus, Oxford Dictionary, Larousse etc.) vorkommen.
  Allerdings dürfen Ihre Passwörter auch nicht so ungewöhnlich sein, dass Sie sie sich nicht mehr merken können. Jeder Merkzettel ist eine potentielle Gefahr !   (Sie könnten ihn z.B. verlieren ...).
  Konstruieren Sie sich also eine persönliche "Eselsbrücke" (d.h. eine Gedächtnis-Stütze, die vermutlich nur Sie selbst verstehen).

Natürlich gibt es kein prinzipiell unknackbares Passwort. Sie haben aber schon sehr viel erreicht, wenn Sie einem potentiellen Hacker so viel Arbeit machen, dass er sich lieber ein leichteres Opfer sucht.
Näherere Erläuterungen zur Passwort-Problematik finden Sie in einem Link auf unserer Security-Seite.

Bewahren Sie Ihre Passwörter sicher auf !

Das "unknackbarste Passwort der Welt" nützt Ihnen überhaupt nichts, wenn Sie sorglos damit umgehen. Berücksichtigen Sie also folgendes:

• Ändern Sie Ihr Passwort häufig genug, d.h.
  • bei normalen Benutzerkennungen mindestens 2 mal pro Jahr
  • bei privilegierten Kennungen (z.B. für Administratoren) mindestens alle 2 Monate
• Wenn es irgendwie möglich ist: Lernen Sie Ihre Passwörter auswendig !  Nur in Ihrem Gehirn sind sie wirklich sicher.
• Wenn das absolut nicht möglich ist:
  • Speichern Sie keinesfalls Ihre Passwörter auf Ihrem lokalen Rechner oder auf irgendeinem anderen über Netz erreichbaren Rechner ab !!!
  • Schreiben Sie Passwörter nie zusammen mit den zugehörigen Kennungen auf.
  • Schreiben Sie Passwörter verfremdet auf (d.h. verfremden Sie sie nach einer Methode, die vermutlich nur Sie selbst verstehen).
  • Tragen Sie den Passwortzettel immer bei sich (z.B. Brieftasche).

Näherere Erläuterungen zur Passwort-Problematik finden Sie in einem Link auf unserer Security-Seite.

Vertrauen ist gut - Kontrolle ist besser    :-)

Lassen Sie nie eine Sitzung unbeaufsichtigt weiterlaufen !

Diese Regel gilt natürlich v.a. für öffentliche Arbeits-Räume. Weil Menschen "Gewohnheitstiere" sind, sollten Sie sich aber angewöhnen, sie grundsätzlich zu berücksichtigen. Dann machen Sie voraussichtlich auch in Stress-Situationen nichts falsch.

• Lassen Sie nie eine offene Sitzung unbeaufsichtigt !!!
  Loggen Sie sich aus, sperren Sie Ihre Sitzung oder starten Sie einen Bildschirm-Schoner mit Passwort-Schutz.
  In öffentlichen Räumen sollten Sie sich bei längerer Abwesenheit natürlich immer ausloggen, um nicht unnötig einen der meist knappen Arbeitsplätze zu blockieren.
• Sichern Sie Ihre laufende Sitzung auch dann, wenn Sie glauben, nur "5 Minuten weg zu sein". Diese 5 Minuten können 5 Minuten zu viel sein !
  Selbst für einen nur mäßig geübten Hacker sind 5 Minuten eine Ewigkeit ...

Verwenden Sie Bildschirmschoner mit Passwortschutz !

Die meisten (vertrauenswürdigen) Bildschirm-Schoner bieten die Möglichkeit, einen Passwort-Schutz zu setzen. Sie aktivieren dann den Bildschirm-Schoner wie gewohnt, können ihn aber nur wieder abschalten (und damit Ihre Sitzung wieder aufnehmen), wenn Sie das korrekte Passwort eingeben.
Wenn Sie keine andere Möglichkeit haben, Ihren Arbeitsplatz für kürzere oder längere Abwesenheitszeiten gegen unbefugte Benutzung abzusichern, besorgen Sie sich also auf jeden Fall einen Bildschirmschoner mit Passwortschutz.
Wenn Sie z.B. mit MS-Windows-NT arbeiten, ist diese Vorsichts-Massnahme nicht nötig. Sie können dann Ihre laufende Sitzung einfach durch gleichzeitiges Drücken der 3 Tasten <ALT> <CTRL> <DEL> (US-Tastatur) bzw. <ALT> <STRG> <ENTF> (deutsche Tastatur) und nachfolgendes Anwählen des Punktes "lock" sperren. Wenn Sie Ihre Sitzung später wieder aufnehmen wollen, müssen Sie lediglich Ihr gewohntes Login-Passwort eingeben.

• Suchen Sie nach einem Menü-Punkt "Optionen", "Einstellungen" o.ä. Dort finden Sie vermutlich einen Unterpunkt "Bildschirm-Schoner" oder "Screen-Saver". Dort können Sie meistens angeben, wie schnell sich der Bildschirm-Schoner einschaltet. Wenn Sie also z.B. "5 Minuten" (eine erfahrungsgemäß sinnvolle Zeitspanne) keine Taste berührt und auch die Maus nicht betätigt haben, schaltet sich der Bildschirm-Schoner automatisch ein.
• Wenn Sie in öffentlichen Rechner-Räumen arbeiten, sollten Sie die voreingestellte Zeitspanne keinesfalls abwarten, sondern den Bildschirm-Schoner immer explizit starten, sobald Sie den Raum verlassen.
  Natürlich gilt dies nur, wenn Sie den Raum nur kurz verlassen. Ansonsten sollten Sie sich ausloggen, um nicht unnötig einen der meist knappen Arbeitsplätze zu blockieren.
• Auch für die Passwörter von Bildschirm-Schonern gelten natürlich die allgemeinen Regeln für sichere Passwörter. Näherere Erläuterungen zur Passwort-Problematik finden Sie in einem Link auf unserer Security-Seite.

Achtung :
Verwenden Sie keinesfalls Bildschirm-Schoner aus unbekannten (möglicherweise dubiosen) Quellen !

Umgang mit E-Mail

Unverschlüsselte E-Mail ist so "sicher" wie eine Postkarte.

Sie sollten sich bewusst sein, dass unverschlüsselte E-Mail für unbefugte Leute ein offenes Buch sein kann. Berücksichtigen Sie also folgendes:

• Wenn irgendwie möglich, verschlüsseln Sie alle Ihre E-Mails, zumindest aber die wichtigsten.
  Nähere Erläuterungen zum Verschlüsselungs-Verfahren PGP finden Sie in Kürze in einem Link auf unserer Security-Seite.
• Wenn Sie E-Mails nicht verschlüsseln wollen oder können, seien Sie sich bewusst, dass diese möglicherweise von unbefugten Personen gelesen werden. Schreiben Sie also nichts in eine E-Mail, das Sie nicht schlimmstenfalls am "schwarzen Brett" wiederfinden wollen.
• Es ist (leider !) ein Kinderspiel, E-Mails zu fälschen. Dies betrifft sowohl den Header (also z.B. die Einträge zu "Absender" und "Empfänger") als auch den eigentlichen Inhalt der Mail. Dazu brauchen Sie nicht einmal Administrator-Privilegien !  Sie sollten deshalb kritische Mails (d.h. Mails, bei denen es auf die Urheberschaft und/oder auf den genauen Inhalt ankommt) unbedingt signieren und/oder verschlüsseln.
  PGP ist ein Tool, das Sie u.a. dafür verwenden können. Nähere Informationen zu PGP finden Sie in Kürze in einem Link auf unserer Security-Seite.
• Näherere Erläuterungen zur E-Mail-Problematik finden Sie ebenfalls in einem Link auf unserer Security-Seite.

E-Mail-Attachments sind eine wichtige Gefahren-Quelle !

(Insbesondere PC-)Viren werden oft über Mail-Attachments ("Anhänge") verteilt. Öffnen Sie deshalb auf keinen Fall ein Attachment, dessen Herkunft Sie nicht kennen. Vergleichen Sie hierzu auch den Abschnitt Viren-Scanner.

Schutz vor Makroviren
Makroviren werden oft mit Hilfe von z.B. Word- oder Excel-Dokumenten verschickt, die einer E-Mail als Anhang (Attachment) beigefügt werden.
Nähere Informationen über bekannte Makroviren (insbesondere für MS-Word, Excel, Access und Amipro) finden Sie hier.

Allgemeiner Umgang mit dem Internet

Das Internet als Ganzes ist ebenfalls unsicher !

Aus Benutzersicht ist das Internet eine gigantische "Wolke" mit zahlreichen Zwischenstationen, die Sie in der Regel nicht kennen und normalerweise auch nicht kennen wollen. Jede einzelne dieser Zwischenstationen ist ein potentieller Angriffspunkt !
Berücksichtigen Sie also folgendes:

• Daten gehen normalerweise unverschlüsselt über das Internet und können deshalb von Hackern prinzipiell mitgelesen werden.
• Wenn Sie Datenschutz-relevante Daten an öffentlichen Webservern eingeben (z.B. um mit Ihrer Kreditkarten-Nummer das ultimativ angesagte T-Shirt zu bestellen), achten Sie darauf, dass der Datenverkehr mit Verschlüsselung durch SSL (Secure Socket Layer) geschützt ist. Sie erkennen dies meist an speziellen Browser-Symbolen (z.B. geschlossenes Schloss oder kompletter Schlüssel) oder an der URL: "https://...
• Sogenannte "Cookies" erhöhen in gewisser Weise den Surf-Komfort. Sie sollten sich aber bewusst sein, dass viele kommerzielle Web-Seiten Cookies verwenden, um Ihr persönliches Surf-Verhalten zu protokollieren, damit Sie später mit ganz gezielten, auf Sie persönlich zugeschnittenen Werbe-Einblendungen versorgt werden können.
  Konfigurieren Sie Ihren Rechner auf jeden Fall so, dass Sie jedesmal explizit gefragt werden, bevor ein Cookie auf Ihrem Rechner gespeichert wird. Auf diese Weise behalten Sie zumindest den Überblick.

Verwenden Sie "Secure Shell" (SSH), wann immer es möglich ist.

Sogenannte "r-Kommandos" (z.B. rlogin = "remote login" oder rcp = "remote copy"; v.a. in der UNIX-Welt) und auch telnet haben v.a. folgende Schwächen:

• Alle Daten (auch Passwörter !) gehen unverschlüsselt über's Netz.
• Rechner müssen sich nicht authentifizieren (d.h. ausweisen). Theoretisch kann also jeder beliebige Rechner einfach behaupten, z.B. "sun1.lrz-muenchen.de" zu heißen. Es gibt keine Instanz, die diese Behauptung überprüft.

Wenn Sie SSH verwenden, werden diese Sicherheitslücken geschlossen.
Näherere Erläuterungen zu SSH finden Sie in einem Link auf unserer Security-Seite.

Katastrophen-Management

Der schlimmste Fall ist eingetreten: An Ihrem Rechner wurde eingebrochen oder Sie vermuten zumindest einen Einbruch. Sie können von folgendem ausgehen:

• Der Hacker hat zumindest Ihre Kennung geknackt und somit Zugriff auf alle Ihre Daten, die über Netz zugänglich sind oder auf Ihrem lokalen Rechner liegen. Der Hacker ist damit z.B. in der Lage, Ihre lokalen oder auch Ihre archivierten Datenbestände zu verfälschen oder zu löschen.
• Oft schafft es der Hacker auch, Administrator-Privilegien zu erlangen (das ist in der Regel das eigentliche Ziel der Hacker) und kann dann noch viel mehr Schaden anrichten (z.B. Ihnen Ihre Rechenberechtigung entziehen, weitere Kennungen angreifen etc.).
  Wenn dies der Fall ist, können Sie davon ausgehen, dass Sie absolut keine Ihrer Daten oder laufenden Prozesse mehr als sicher betrachten können. Weil Sie in der Regel nicht wissen (können), was genau der Hacker getan hat, sollten Sie immer vom schlimmsten möglichen Fall ausgehen und entsprechend handeln (s.u.).
• Hacker sind (naheliegender Weise) natürlich auch daran interessiert, ihre Spuren zu verwischen. Deshalb zerstören oder fälschen sie unter Umständen Dateien, die sie für verdächtig halten, um auf "Nummer Sicher" zu gehen.

Auf jeden Fall sollten Sie nun folgendes tun:

• Behalten Sie die Nerven und versuchen Sie, so effektiv wie möglich zu handeln.
• Notieren (bzw. speichern) Sie alle verdächtigen Beobachtungen.
  Erstellen Sie unbedingt eine Liste Ihres gesamten Verzeichnisbaumes (d.h. mit allen aktuellen Verzeichnissen und Dateien). Achten Sie darauf, dass diese Liste auch das jeweilige Modifikations-Datum enthält. Dieses kann wertvolle Hinweise für die "Tat-Rekonstruktion" liefern.
• Löschen Sie verdächtige Dateien nicht einfach, sondern "verstecken" Sie sie in anderen Verzeichnissen oder benennen Sie sie um. Falls Sie sie löschen wollen oder müssen (z.B. weil sie Ihren laufenden Betrieb stören), machen Sie auf jeden Fall vorher eine Kopie.
  Derartige Dateien können bei der "Tat-Rekonstruktion" eine wertvolle Hilfe sein.
• Gehen Sie damit zu Ihrem Administrator/Ihrer Administratorin und lassen Sie sich beraten, was Sie tun können. Tun Sie das auch, wenn Sie einen Einbruch nur vermuten ! Ihre Administratoren sollten auf jeden Fall wissen, was abläuft.
  Wenn es sich um Ihren privaten PC handelt, verständigen Sie die LRZ-Hotline - natürlich nur, wenn Sie noch studieren oder im Bereich "Forschung und Lehre" tätig sind und zum Kundenkreis des LRZ gehören.
• Im schlimmsten Fall müssen Sie Ihren Rechner neu installieren (lassen) und (hoffentlich vorher gesicherte) Daten zurückspielen.

Weiterführende Informationen

Weiterführende Informationen (Bücher, Artikel, URL's) finden Sie auf unserer Security-Seite.

Beachten Sie dabei, dass technische Security-Informationen sehr schnell veralten. Die aktuellsten Tipps erhalten Sie in der Regel über entsprechende News-Gruppen und Mailing-Listen.
Bücher sind eher geeignet, um sich einen grundsätzlichen Überblick zu verschaffen.