Category Archives: Schlangenöl

SHAPE your own security – Aufmerksamkeit ist der Preis der Datensicherheit

Conférence de Yalta, Février 1945

Oh, da war ich doch tatsächlich in meinem letzten Artikel zu voreilig, bzw. zu sehr in meinem eingeübten Muster eingefahren.
Die Schlangenöl-Serie ist noch gar nicht vollständig!
Oder sehen wir es anders:
Heute gibt es noch eine Zugabe – weil das Thema einfach viel zu schön ist, um ihm lediglich vier Artikel zu widmen.

Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge

Heute ist es mein erklärtes Ziel, nicht nur auf einer positiven Note zu enden.
Nein, heute soll der gesamte Artikel ein Quell der positiven Stimmung und der kraftvollen Ideen sein.
Ich sehe quasi schon die Einhörner zwischen den Zeilen hervorlachen.

Mit dem Titel meines heutigen Artikels lege ich bereits die Marschrichtung fest.
Geht es euch auch so, dass ihr das Gefühl habt, dass ich diesmal ordentlich in Richtung militärischer Nomenklatur unterwegs bin?
Wer fünf unterschiedliche militärisch belegte Begriffe findet, darf sich bei mir melden und erhält dafür meine Aufmerksamkeitsbelobigung am Band.

Wir sind es, die in erster Linie über Wohl und Wehe unserer Datensicherheit und Privatsphäre entscheiden.
Nun, damit sind wir doch geradezu für diese Schutzmaßnahme durch.

Noch nicht ganz, denn lediglich die Erkenntnis zu haben, dass unsere Handlungen kriegsentscheidend für unsere Privatsphäre und Freiheit sind, hilft uns nur bedingt weiter.
Immerhin bewahrt uns dieses Wissen davor, blindlings ins Verderben zu laufen.
Aber ich will euch ja Waffen und Munition für die Verteidigung an die Hand geben.
Für wesentlich halte ich daher eine fundierte Aufklärung der Bedrohungslage:

  • wo verlaufen die Frontlinien im Kampf um unsere Daten?
  • wie groß ist die Mannschaftsstärke der gegnerischen digitalen Armee?
  • welcher Art ist das digitale Waffenarsenal unserer Gegner?

Darum, liebe Leser, schlaut euch auf.
Fragt nach, interessiert euch.
Die zunehmende Digitalisierung unseres Alltags und unserer Gesellschaft ist weder aufzuhalten noch rückgängig zu machen.
Die Worte Winston Churchills

“[…] we shall fight on the beaches, we shall fight on the landing grounds, we shall fight in the fields and in the streets […]”

finden hier keine Anwendung, denn wir können dieser Entwicklung nicht auf dem offenen Schlachtfeld entgegentreten.
Wir müssen Guerilla-Taktiken anwenden.
Wir müssen die Schwächen des Gegners ausloten und zu unserer Stärke machen.
Ein Ausstieg aus der digitalen Entwicklung ist nur unter massiven Einbußen von Bewegungsfreiheit und gesellschaftlichem Kontakt möglich – auf Grönland vielleicht oder auf einer verträumten Insel im südlichen Pazifik.

Nein, unser Ziel muss sein, dass wir die technische Entwicklung und damit die gesellschaftlichen Auswirkungen kritisch begleiten.
Damit haben wir die Chance, den Kampf um unsere Daten für uns zu entscheiden.

Think first, click later

Als erste konkrete Handlungsanweisung für unseren Schutz vor digitalen Bedrohungen steht dieses Mantra.
Damit habe ich auch den aktuellen Bezug zur anstehenden Bundestagswahl – macht eine kleine Splitterpartei doch allen Ernstes Werbung mit dem Slogan:

“Digital first. Bedenken second.”

Wenn ich so etwas lese könnt ich grad auf der Sau naus.
Diese Sichtweise zeugt deutlich davon, gar nichts verstanden zu haben – zumindest nichts, was den Schutz der persönlichen Daten und die Privatsphäre angeht.
Möglicherweise haben Politiker, die eine derartige Aussage tätigen, sehr wohl den Wert von Daten verstanden – beispielsweise für die Wirtschaft – und die Digitalisierung liefert (nicht nur der Wirtschaft) wertvolle Information für Werbung, Manipulation und Einflussnahme.
Lediglich von einer solchen Geisteshaltung regiert werden will ich nicht.
Daher mein dringender Aufruf:

Bedenkt, was ihr tut - die digitalisierten Belege eurer Handlungen werden diese lang überdauern - trotz eines Rechts auf Vergessen in der EU-DSGVO.
Denn ein Recht führt nicht automatisch zu einer technischen Machbarkeit dieser politischen Forderung.

Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation

Eine der technischen Gegebenheiten des Internet ist, dass die direkte Kommunikation Angesicht-zu-Angesicht aufgehoben (bzw. verringert) wurde.
Dies hat den Vorteil, dass wir uns über Kontinente hinweg miteinander austauschen können.
Ein Nachteil liegt jedoch darin, dass die Hemmschwelle für kriminelle Aktivitäten sinkt, da das Opfer ja ebenfalls weit entfernt (also für den Täter quasi unsichtbar) ist.

Es ist deutlich leichter, eine Schadsoftware online zu verteilen, als einem zufälligen Passanten die Handtasche zu entreißen.
Wenn wir uns diesen Sachverhalt bei der Bearbeitung unserer elektronischen Post vor Augen führen, besitzen wir die nötige Aufmerksamkeit, um uns vor unliebsamen Auswirkungen einer solchen digitalen Landmine zu schützen.
Ein Großteil der Schadsoftware, sei es Ransomware, Spyware oder Crypto-Currency-Miner, kommen als Anhang einer E-Mail daher.

Darum meine Empfehlung in diesem Umfeld:

  • öffne keine Anhänge, die unaufgefordert kommen
  • klicke nicht auf Links, die unkommentiert geschickt werden
  • prüfe den Link, den du klickst

Mir ist klar, dass diese Forderungen mehr Arbeit bedeuten, mehr Aufmerksamkeit benötigen und daher mehr Zeit beanspruchen.
Aber, um es mit Mahatma Gandhi zu sagen:

“Es gibt wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen.”

Werkzeuge der digitalen Verteidigung

Unsere stärksten Verbündeten im Kampf um unsere Datenhoheit habe ich in den ersten Abschnitten dieses Artikels vorgestellt:
Unsere Aufmerksamkeit und die Kenntnis der Bedrohungen.
Da wir uns jedoch einer hochgerüsteten digitalen Armee gegenüber sehen, ist es ratsam, wenn wir uns auch das eine oder andere virtuelle Werkzeug zu eigen machen.

  • Add-ons für sicheres Surfen
    • Cookie Autodelete
      Hält uns lästige Cookies vom Hals, die unserer Surfverhalten verfolgen.
    • uBlock Origin
      Filtert Werbung von Webseiten – die oft als Träger von Schadsoftware dient.
    • NoScript
      Unterdrückt aktive Inhalte, bis wir diese – bewusst – zulassen.
      Schützt uns somit vor den Auswirkungen von Schadsoftware, die auf verseuchten Webseiten bereit gestellt wurde.
  • Eine Firewall
    Damit bekommen wir Kontrolle über die Datenflüsse in und aus unserem Rechner.
    Quasi die Grenzkontrolle zwischen unserem Datenzentrum und der weiten wilden virtuellen Welt.
  • Ein sicheres Betriebssystem
    Linux ist nicht gegen alle Angriffe gewappnet.
    Aber schon aufgrund der geringen Verbreitung von Linux im Desktopbereich ist dies ein Argument dafür, eben dieses Betriebssystem zu verwenden.
    Es ist schlicht nicht im Fokus der Angreifer.
    Und obendrein ist ein Rechner, der unter Windows läuft, schwieriger zu schützen als ein Rechner unter Linux.

Nutze nur, was du gerade brauchst

Die eigene Angriffsfläche maximal zu minimieren ist nicht nur im Krieg eine durchaus hilfreiche Überlebensstrategie.
Ein Infanterist, der mit ausgebreiteten Armen (ohne eine weiße Flagge zu schwenken) auf die feindlichen Linien zuläuft, hat ähnlich gute Überlebenschancen wie ein Schneeball in der Hölle.
Deswegen meine Empfehlung an dieser Stelle:

 Angriffsfläche minimieren.

Nutzt nur, was ihr wirklich benötigt.
Das trifft auf Software, die wir auf unseren Rechnern installiert haben, genauso zu, wie auf Schnittstellen, die wir bereit stellen.
Gerade jetzt hat der BlueBorne getaufte Angriffsvektor auf Bluetooth dies wieder drastisch zutage gefördert.
Bei BlueBorne handelt es sich um einen Angriff auf Bluetooth.
Egal auf welchem System.

Windows ist genauso betroffen wie macOS, iOS, tvOS, watchOS, Android und Linux.
Egal ob Smartphone, SmartTV, SmartWatch, Fitness-Tracker, Kaffeemaschine, Rolladensteuerung oder Laptop.

Es reicht für einen solchen Angriff bereits aus, wenn Bluetooth aktiviert ist.
Was hilft in allerster Linie:

 Bluetooth deaktivieren.

Ich weiß, ich weiß, ich höre das Heulen und Zähneknirschen.
Denn wenn ich Bluetooth deaktiviert habe, kann mein Fitbit mich überhaupt nicht mehr überwachen.
Ja, richtig.
Aber was ist dir lieber?
Keine Überwachung mehr oder keine Daten – weil dir diese gerade über deine offene Bluetooth-Verbindung gestohlen wurden?
Nun, es gibt Rettung – teilweise.
Updates.
Wenn das Gerät denn updatefähig ist – was entsetzlicherweise bei vielen IoT-Geräten tatsächlich nicht der Fall ist – trotz offener Bluetooth-Schnittstelle.

Be up to date – or else

Es ist doch vollkommen paradox:
Wir wollen immer zur Speerspitze der technischen Entwicklung zählen.
Wir wollen bei der Avantgarde, der Vorhut, der Pioniertruppe dabei sein.
Eine neue technische Entwicklung ist noch nicht ganz auf dem Markt, schon haben wir zugegriffen.
Wir sind so schnell, dass wir gestern schon haben, was erst morgen im Laden steht.

Aber – haben wir auch die Risiken im Blick, die wir uns damit einhandeln?
Wir sind die ersten, die durch das technische Minenfeld der Neuentwicklung gehen.
Wir schlagen den Brückenkopf für die Hersteller zu seinen Kunden.
Wir leisten die Pionierarbeit.
Aber, sind wir dafür auch ausreichend durch den Hersteller vorbereitet und geschützt?
Oder schickt uns dieser ohne Marschgepäck und ausreichende Feindaufklärung in vollkommen ungesichertes Terrain?
Und hier greift das Paradoxon:
Wir erhalten zwar den funktional neuesten heißen Scheiß – aber die Systeme dahinter sind weit offen für Angriffe.

Daher müssen wir stets die aktuellsten Softwareversionen einsetzen, die uns die Hersteller bereit stellen können.
Denn ohne aktuelle Systeme nützt uns die modernste Technik nichts.

Wirklich, das ist die wichtigste technische Verteidigungslinie, die wir aufrecht erhalten müssen.
System-Updates.

Wenn wir zulassen, dass dieser vorgelagerte Schutzwall fällt, dann bieten wir dem Feind eine ungeschützte Flanke, die er gnadenlos angreifen wird.
Und dann ist Polen offen.
Die Softwarehersteller liefern nicht aus Jux und Dollerei monatlich – oder besser noch wöchentlich (bisweilen sogar täglich) – Flicken für ihre umfangreichen Softwareteppiche.
Die meisten Softwarepakete wirken mittlerweile wie eine gut eingetragene Jeans in der dritten Generation einer Hippie-Familie.
Aber – wäre das nicht so, würde das Softwarepaket eher einer rostigen Gieskanne auf dem Grund des Neckars gleichen.
Der technisch interessierte Leser wird sich an dieser Stelle möglicherweise fragen:
Muss das so sein?
Meine Meinung dazu ist in diesem Fall recht klar und recht radikal:
Nein.

In einer idealen Welt wäre Software stabil, modular und sicher entworfen und klar für einen Zweck programmiert.
Leider leben wir nicht in einer idealen Welt.

Sicherheit kostet Geld und Zeit.
Und in einer Welt, in der Time-to-Market zählt und Kundendaten bestenfalls als Ölquelle angesehen werden, wird wenig Wert auf Security-by-Design und Privacy-by-Default gelegt.
Der Schutz der Privatsphäre wird immer noch als Kostenfaktor (und nicht etwa als Wettbewerbsvorteil) angesehen.
Ein Fehler, der unserer Wirtschaft noch schwer auf die Füße fallen wird.

In der wirklichen Welt müssen wir eben mit Software leben, die aussieht wie der Quilt einer Amish-Familie in der fünften Generation.

TL;DR

  • Wir sind unsere stärkste Armee: Unser Rüstzeug gegen Viren, Trojaner und andere Schädlinge
  • Denken ist wie googeln – nur krasser: Think first, click later
  • Weaponized Communication: Die E-Mail – im Zweifel die Landmine der digitalen Kommunikation
  • Wir brauchen mehr als einen Hammer: Werkzeuge der digitalen Verteidigung
  • Reduktion der Angriffsfläche: Nutze nur, was du gerade brauchst
  • Software will gepflegt sein: Be up to date – or else

Damit haben wir uns durch das weite Feld der falschen Sicherheitsversprechen gekämpft.
Wir sind gestählt durch neue Erkenntnisse.
Wir sind gerüstet für eine digitale Zukunft.
Wir haben neue Strategien für die Verteidigung unserer Privatsphäre gefunden und neue Waffen gegen die Angreifer auf unsere digitale Freiheit kennen gelernt.
Kämpfen wir dafür.
Es geht um uns.

Fragen? Anmerkungen?

teilen + spenden

Was uns wirklich gefährdet

Habe ich mich in den letzten Wochen ausführlich – geradehin in epischer Breite – über die Versprechungen der Schlangenölbranche ausgelassen.
Schimpfte ich wie ein Rohrspatz über die Risiken, denen wir uns durch den Einsatz von AV-Software aussetzen.
Führte nachgerade schonungslos aus, wer das wahre und größte Risiko der Preisgabe unserer digitalen Identität sind:
Wir selbst.

So schließe ich heute meine Reihe über Schlangenöl und die Bedrohungen, denen wir uns dadurch aussetzen, ab.
Und zwar mit einem warnenden Paukenschlag:
Was uns wirklich gefährdet

Vor einem Zero-Day kann dich keine Software schützen

Zero-Days, also Bedrohungen, die noch niemand entdeckt bzw. als Gefahr kategorisiert hat, sind die panzerbrechende, uranangereicherte Munition, mit der u.a. Cyberkriminelle uns bedrohen.
Und damit meine ich staatliche Dienste, die in vollkommen verantwortunsloser Weise solche Zero-Day-Exploits horten.
Zum einen ist das eine Gefahr für uns alle, da diese Dienste ihre gesammelten Zero-Days gegen uns, unsere Privatsphäre und damit gegen unsere Freiheit einsetzen können – ich sage an dieser Stelle nur Staatstrojaner.

Zum anderen gefährden uns Dienste, da dieser Hort toxischer Lücken in Software durchaus in die (noch) falsch(eren) Hände von Kriminellen anderer Art gelangen können – hier sage ich nur CIA-Leaks.

Durch einen Zero-Day-Exploit haben Angreifer die Möglichkeit, Schadsoftware auf einem Zielsystem zu deponieren, ohne dass eine vorhandene Schlangenöllösung auch nur den Hauch einer Ahnung hat, dass das vermeintlich geschützte System kompromittiert wurde.
Klassisch unter dem Radar durch.
Zero-Day-Exploits sind quasi die Stealth-Bomber der Informationstechnologie.
Erst wenn der Einschlag kommt, weiß der Anwender, dass er angegriffen wurde.
Oder erst viel später, meistens sogar sehr viel später (und auf jeden Fall zu spät).
Das hängt natürlich ganz von den Zielen der Schadsoftware ab.
Ein Beispiel für den erfolgreichen Einsatz eines Zero-Day-Exploits ist die WannaCry-Ransomware, die es auch aufgrund ihrer publikumswirksamen Auswirkungen in die allgemeinen und klassischen Medien geschafft hat.

Daher meine Handlungsanweisung für diesen Fall:

Ganz frei nach Kant:
Klicke so, dass du ständig die Verantwortung für deine Klicks übernehmen kannst.
Wisse, wohin der besuchte Link dich führt.

Verschlüsselt und verraten

Ransomware ist aktuell nicht nur die Schadsoftware mit der höchsten Verbreitung, sie ist auch eine der Formen von Malware, die Schlangenöl nicht erkennt.
Die große Verbreitung von Ransomware liegt nicht daran, dass die betroffenen Systeme etwa kein Schlangenöl eingesetzt hätten, sondern daran, dass die meisten dieser Systeme keine aktuellen Systemupdates eingespielt hatten.
Die meisten dieser betroffenen Systeme – so ist meine feste Überzeugung – waren sehr wohl durch AV-Software geschützt.
Gleichwohl, es hat nichts genützt.

Denn – und auch an dieser Stelle verweise ich wieder auf WannaCry – Ransomware nutzt ungepatche Lücken in Computersystemen durch Zero-Day-Exploits.
Und diese können von AV-Lösungen einfach nicht erkannt werden.
Ransomware ist ein mittlerweile ein riesiger Markt – und es sind schon längst keine Script-Kiddies mehr, denen wir uns als Gegner gegenüber sehen.
Sondern es ist ein hoch professionalisierter krimineller Wirtschaftszweig, der sich inzwischen sogar die Bewertungssystematik des klassischen Online-Handels zueigen gemacht hat.

Ableitung aus diesen Erkenntnisse:

Habe stets ein aktuelles Backup deiner Daten verfügbar.

Wer nicht up-to-date ist, handelt fahrlässig

“Kein Backup, kein Mitleid!”

Dieses Bonmot der Sys-Admin-Community bringt es treffend auf den Punkt.
Ich formuliere es – passend für diesen Abschnitt – um:

“Kein aktuelles System, kein Mitleid.”

Der technisch wichtigste Schutz vor unbekannten Gefahren ist schlicht und einfach ein aktuelles System.
Das zu bewerkstelligen ist auch wirklich keine Raketenwissenschaft.
Mittlerweile unterstützen uns alle Betriebssysteme dabei, die entsprechenden Geräte aktuell zu halten.
Es ist eben so ähnlich wie bei des Deutschen liebstem Kind:
Dem heiligen Blechle.
Das Auto unserer Wahl nörgelt, warnt und blinkt ja auch in aller Regelmäßigkeit, will unsere Aufmerksamkeit und äussert den Wunsch nach Inspektion, Wischwasser und sonstwas. (Erinnert uns doch irgendwie an die Tamagotchis – wisst Ihr noch?)
Und dem kommen wir doch gerne nach.
Und genauso verhält es sich mit unseren Computersystemen.
Die machen uns ganz selbsttätig darauf aufmerksam, dass sie umsorgt und aktualisiert sein wollen.
Kommen wir diesem doch bitte auch gleich nach.
Es ist kein Aufwand, weder zeitlich noch mental.
Verschieben wir es nicht.
Sobald wir den Wunsch des Betriebssystems nach Update bekommen leisten wir dem Folge.
Ohne Aufschub.
Sofort.
Dieser einfache Klick kann uns eine sehr große Menge Ärger und Ungemach sparen.

Daher mein Aufruf:

Brüder zur Sonne, zum Update!
Daten wir up, sobald es etwas zum updaten gibt.

Jetzt ist aber auch wieder genug des unreflektierten Folgeleistens bei computergenerierten Anweisungen.
Ein weiteres, großes Risiko ist das reflexhafte Klicken auf jeden Link, der uns in einer E-Mail entgegenspringt.
Wir klicken einfach nicht auf jeden Link, der uns in einer E-Mail erreicht – möglicherweise sogar noch vollkommen unkommentiert.

Das tun wir einfach nicht.

Wir wurden doch alle als Kinder umfangreich auf die Gefahren hingewiesen, die von fremden Menschen ausgehen, die uns entweder etwas schenken wollen, oder uns einfach “das süße Kaninchen in ihrem Garten” zeigen wollen.
Sind wir doch alle, oder?
Haben wir etwas angenommen? Nein!
Sind wir mitgegangen? Nein!!
Also.
Ist doch genau das gleiche hier.
Ein Link ist nichts anderes als das Angebot, etwas geschenkt zu bekommen oder ein süßes Kaninchen in dem unheimlichen, überwucherten Garten vor oder hinter der heruntergekommenen und halb verfallenen Villa am Stadtrand gezeigt zu bekommen.
Das nehmen wir nicht an, dieses Angebot.
Zumindest prüfen wir sehr kritisch, ob der entsprechende Link dahin führt, wo er vorgibt hinzuführen.
Das ist bei Plain-Text-Mails einfacher als bei HTML-Mails – aber es geht in allen Fällen.
Wir müssen schlicht und ergreifend unseren gesunden Menschenverstand wieder stärker schulen und ein gerüttelt Maß an Mißtrauen kultivieren.

Deshalb an dieser Stelle alle im Chor:

Wir klicken nicht reflexartig auf alle Links, die uns unter den Mauszeiger kommen.

Nicht öffnen!

Wenn es tickt, ölig riecht und eine ungleichmäßige Gewichtsverteilung hat – dann machen wir ein Paket doch auch nicht auf!

Warum sollte dies bei Anhängen von E-Mails anders sein?
Gut, die riechen eher nicht ölig (die olfaktorische E-Mail ist uns bisher zum Glück erspart geblieben), aber ein unerwarteter Anhang ist die digitale Analogie dazu.
Wenn wir den Absender nicht kennen, können wir die E-Mail mit Anhang schon gleich unbesehen und unbesorgt löschen.
Wenn es etwas wichtiges ist dann kommt es wieder.
Und selbst wenn wir den Absender kennen, muss schon ein triftiger Grund vorliegen, um den Anhang öffnen.
Und dieser triftige Grund ist die Ankündigung des Anhangs (aus einer früheren Mail oder einem persönlichen Gespräch).

Fragen wir lieber nach – auf einem anderen Kanal bitte! – ob der Anhang wirklich authentisch ist.
Denn insbesondere unaufgefordert zugesandte Anhänge – wie z.B. Bewerbungsunterlagen – waren in der Vergangenheit (und sind es aktuell immer noch) tickende Briefbomben. Sie wirken zumeist wahnsinnig echt und verleiten die ansprochenen Personen in aller Regel zum Öffnen.

Darum:

Nichts öffnen, was wir nicht angefordert haben - es könnte ein Drache in dem Paket hocken.

Obrigkeitshörigkeit kostet Millionen

Unkritisches Verhalten – gepaart mit einer restriktiven und rigiden Hierarchie – sind ein ideales Ökosystem für ein weiteres virtuelles Angriffsszenario, bei dem Schlangenöl keinerlei Schutz bietet.
In einem derartigen von Angst, Gleichgültigkeit, Obrigkeitshörigkeit und Unkenntnis verseuchten Umfeld können Angriffe wie der CEO-Fraud aufblühen und ihre kriminellen Blüten treiben.
Bei dieser Form des Internetbetrugs wird eine gefälschte E-Mail – vermeintlich vom Geschäftsführer (eben dem CEO) – an einen zumeist hochrangigen Mitarbeiter mit Finanzkompetenz geschickt.
Diese Mail formuliert die Anweisung, ganz kurzfristig und unter Umgehung sämtlicher gängiger Prozesse, unauffällig eine größere Menge Geldes an eines der unauffälligen Konten in einem ganz vertrauenswürdigen Land zu überweisen.
Dringend, weil das Wohl der Firma, der freien Welt und ganz besonders die Sicherheit des Jobs des Mail-Empfängers davon abhängen.
Und, ach ja, noch nebenbei, natürlich bleibt die ganze Transaktion vertraulich zwischen den Mail-Parteien.
Geht ja üblicherweise nur um ein paar Millionen Dollar.

Und da dies eben in einem Umfeld von Befehl und Gehorsam stattfindet und die Mails wirklich authentisch wirken – bis auf die klare Aushebelung jeglicher Vernunft und Ordnung – sind diese CEO Frauds sehr erfolgreich.

Was bleibt mir da zu empfehlen?

Stärken wir unser Rückgrat.
Fragen wir lieber einmal mehr nach als später den Schaden zu haben.
Wird uns für eine solche - durchaus berechtigte - Rückfrage der Kopf abgerissen, wäre für mich zumindest eines klargestellt:
Das ist sicherlich keine Umgebung, in der ich weiterhin freiwillig arbeiten will.

“If you don’t like how things are, change it! You’re not a tree.”

Unsere Handlungen bestimmen unsere Privatsphäre

Das größte Risiko sind aber letztlich wir selbst.
Es hilft alles nichts, wir sind schlussendlich selbst für unser Wohl und Wehe verantwortlich.
Wir können alles auf externe Faktoren schieben:

  • die schlechte Schutzsoftware
  • die bösen Cyber-Kriminellen
  • das schlechte Betriebssystem
  • die gemeinen Geheimdienste
  • und, und, und…

Wenn wir eine Ausrede finden wollen – finden wir sie.
Wenn wir eine Lösung finden wollen – finden wir auch einen Weg.

Wir sollten bei unserem eigenen Verhalten beginnen.
Wir können immer entscheiden, wie wir handeln wollen.
Und sobald wir dies erkennen und entsprechend Verantwortung für unser Handeln übernehmen, ist das der erste Schritt zurück zur Souveränität über unsere Daten und unsere Privatsphäre.

Deshalb:

Beginnen wir damit, Verantwortung für unser eigenes Handeln zu übernehmen.

Was also können wir tun, Lone Ranger?

Zunächst – Optimistisch bleiben.
Denken wir uns erst einmal:

“This too will pass.”

Echt, die Welt geht davon (noch) nicht unter.
Es klingt alles furchtbar dramatisch, aber wir haben schon anderes überstanden.
Modern Talking zum Beispiel.
Ne, Ernst beiseite – hier nochmal kurz zusammengefasst, was wir tun können, um nicht in die Cyber-Cyber-Falle zu tappen:

  • Backups haben – und den Restore-Fall testen!
  • das System aktuell halten
  • erst denken, dann klicken
  • keine suspekten Anhänge öffnen (und rückversichere dich im Zweifel beim Absender)
  • hab ein Rückgrat, sei kritisch und frag lieber einmal mehr nach als einmal zu wenig
  • übernimm Verantwortung für deine eigenen Handlungen

TL;DR

  • Was Schlangenöl nicht kennt, kann dir trotzdem schaden: Vor einem Zero-Day kann dich keine Software schützen
  • Ransomware: Verschlüsselt und verraten
  • Updates: Wer nicht up-to-date ist handelt fahrlässig
  • Trügerische Verweise: Links, zwo-drei-vier!
  • Der Anhang, das gefährliche Wesen: Nicht öffnen!
  • Es ist nicht alles Chef, was danach aussieht: Obrigkeitshörigkeit kostet Millionen
  • Wir sind unser größter Schutz: Unsere Handlungen bestimmen unsere Privatsphäre
  • Ending on a positive Note: Was also können wir tun, Lone Ranger?

Das Ende einer langen Reise:
Schlangenöl in epischer Breite – mit hilfreichen Tipps und Handreichungen.
Und bei Fragen – immer her damit

Fragen? Anmerkungen?

teilen + spenden

Gefühlte Sicherheit ist ein echtes Risiko

Heute sammle ich meine Gedanken zum größten Risiko, welches Schlangenöl für uns Nutzer darstellt:
Unser falsches Gefühl von Sicherheit, wenn wir eine AV-Lösung als Teil (oder noch schlimmer – als einziges Element) unserer Sicherheitsstrategie einsetzen.

Habe ich in meinem letzten Artikel die technischen Unzulänglichkeiten von Schlangenöl dargestellt, konzentriere ich mich heute auf das mit Abstand schwächste Glied der Sicherheitskette beim Schutz unserer digitalen Habseligkeiten.
Uns.
Den Nutzer, das nicht zu kontrollierende Element zwischen Tastatur und Schreibtischstuhl.

Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette

Wir können noch so viel technische Schutzmaßnahmen, politische Regelungen und gesellschaftliche Vereinbarungen einsetzen, dass wir uns im technisch-regulatorischen Dickicht verlieren – wenn der Mensch nicht vermag, nicht versteht oder schlicht nicht will, werden all diese Maßnahmen nicht wirken.
Oder noch schlimmer, sie werden die Situation seiner Daten schlicht verschlimmern.
Der Mensch ist letztendlich der alles entscheidende Faktor beim Schutz (oder eben beim Verlust) seiner Daten.
Wir können versuchen, mit technischen Mitteln ein Korsett von Sicherheitsmaßnahmen um unser digitales Handeln zu schnüren.
Aber wir werden es niemals schaffen, alle menschlich-irrationalen Handlungen automatisiert abzufangen.
Wenn der Mensch aus Unkenntnis, Unwissenheit oder Unwillen diese technischen Maßnahmen umgehen will, wird ihm das gelingen.
Ob an dieser Stelle jetzt die tatsächliche (oder auch nur die gefühlte) Unbequemlichkeit – oder der reine Wille, gegen eine technische Bevormundung zu rebellieren – steht, ist vollkommen belanglos.
Mir ist wichtig, hier klar zu vermitteln, dass wir als Mensch sowohl das Vermögen als auch die Pflicht haben, unsere digitale Identität zu schützen.
Werkzeuge, auf die wir vertrauen und die wir zum Schutz unserer Daten einsetzen, sind nur so gut wie das Wissen des Nutzers um dieses Werkzeug.
Ein Hammer ist ein fantastisches Werkzeug.
Allerdings nur für jemanden, der weiß wie man mit einem Hammer umgehen muss.
Für jemanden, der sich nicht mit der – zumindest grundlegenden – Funktionsweise eines Hammers auskennt, ist ein Hammer bestenfalls nutzlos.
Schlimmstenfalls ist ein Hammer eine sehr gefährliche Waffe – sowohl gegen den Anwender eines Hammers als auch alle anderen Umstehenden.
Was können wir nun – schlussfolgernd aus diesen Zeilen – tun, damit wir uns nicht ständig den digitalen Hammer beim Versuch, unsere Daten diebstahlgeschützt an unsere sichere Zimmerwand zu nageln, auf den virtuellen Daumen hauen?
Wir können uns weiterbilden.
Wir können lernen, wie wir selbstverantwortlich mit unseren Daten umgehen.
Oder wir können Verzicht üben.
Wir legen den digitalen Hammer beiseite, nageln unsere Daten nicht mehr an alle möglichen öffentlichen Wände und beschränken uns darauf, einfach weniger zu tun.
Das ist ein legitimes Vorgehen.
Niemand zwingt uns, auf jeden durch den Bahnhof des digitalen Weltdorfes rasenden Hype-Zug aufzuspringen.
Wir müssen nicht jede neue technische Möglichkeit ausschöpfen, um mit den Menschen, die uns wichtig sind in Kontakt zu bleiben.
Wir haben die Wahl.
Aber wenn wir uns dazu entscheiden, technisch modern und digital hochgerüstet zu agieren – dann haben wir auch die Pflicht und Schuldigkeit, zu verstehen, was wir tun.
Deswegen mein Aufruf an dieser Stelle:

Bilden wir uns weiter.

Gefühlte Sicherheit ist ein echtes Risiko

Der Hauptaspekt, den ich in diesem Artikel beleuchten will, ist das Risiko, welchem wir uns aussetzen, wenn wir vermeintliche Sicherheitstechnologien wie AV-Software unreflektiert einsetzen.
Wenn wir uns als Nutzer einer solchen Sicherheitssuite auf die Werbeversprechen der Schlangenölhersteller blind verlassen, lassen wir uns auf einen Tanz im Minenfeld ein.
Mit verbundenen Augen.
Und mit Kopfhörern auf den Ohren.
Und mit Schneeschuhen an den Füßen.
Es ist eine tödliche Illusion von Sicherheit, der wir uns digitaltechnisch hingeben.
In dem Gefühl vermeintlicher Sicherheit erliegen wir allzu leicht der Tendenz, gänzlich unsicheres Verhalten zu etablieren.
Wenn wir allzu unreflektiert einem System, einer Technologie vertrauen, dann ist dieses Verhalten stets zu unserem Schaden.
Wir sollten immer hinterfragen, was der Lieferant des Systems (oder der Technologie) davon hat, uns dieses System zur Verfügung zu stellen.
Ausser Geld damit zu verdienen.
Weiterhin tun wir gut daran, wenn wir etwas über die Wirkungsweise dieses Systems lernen und damit besser verstehen, wie – und ob überhaupt – dieses System für uns zuträglich ist.
In unserem konkreten Fall geht es hier um die Wirkweise von AV-Systemen – deren Schwächen habe ich in meinem letzten Artikel dargestellt.
Wenn wir nun Kenntnis darüber haben, wie AV unsere Systeme schützt und welche Lücken es hat, dann sind wir in der Lage, eine fundierte Entscheidung darüber zu treffen, wie sehr wir dieser Technologie trauen und ob wir einem solchen System unsere Daten anvertrauen wollen.
Hinterfragen wir nicht und vertrauen wir lediglich den Werbeaussagen der Hersteller, dann sind wir nicht weiter als unsere altehrwürdigen Vorfahren, die Blitz und Donner auf den Zorn der Götter zurück führten.
Mir ist klar, dass die Sichtweise, alles kritisch zu hinterfragen, was wir nutzen, deutlich mehr Zeit in Anspruch nimmt, als Aussagen von Werbung und Politik unkritisch anzunehmen.
Aber wenn wir beginnen, uns mit den Aktivitäten und Anwendungen unseres täglichen Lebens bewusst auseinander zu setzen, dann gewinnen wir mehr, als es uns an Zeit kostet:

Wir gewinnen Freiheit, Erkenntnis und die Selbstbestimmung über unser Leben.

AV-Software als moderner Ablassbrief

Gerade jetzt aktuell im Lutherjahr – da drängt sich der Vergleich von Schlangenöl zu den Ablassbriefen der vorreformatorischen Kirchengeschichte förmlich auf.
Mir erscheint das Verhalten der Nutzer von AV-Software vergleichbar zu sein mit dem Lebenswandel von solventen Kirchgängern der vorlutherischen Zeit:
Mächtig die Sau rauslassen, anschließend einen Ablassbrief kaufen und damit die Seele wieder freikaufen – Verzeihung, reinwaschen.
Die erklecklichen Lizenzgebühren für Schlangenöl scheinen mir an dieser Stelle das analoge Verhalten bei den Nutzern auszulösen:
Zahle ich schon Jahr für Jahr meine Ablassgebühren an die Schlangenölhersteller dann kann ich ja wohl auch unbesorgt im Internet herumsudeln – ich bin ja geschützt und meine Seele – respektive meine Daten – bleiben rein.
Beides – Ablassbrief und AV-Software – gehen auf ein verschobenes Verständnis hinsichtlich unseres Verhaltens zurück.
Wir können uns nicht von Schuld freikaufen – wir müssen zu dem stehen, was wir tun.
Verhalten wir uns unmoralisch, dann müssen wir mit den Konsequenzen leben – wir können unsere Seele nicht von Schuld freikaufen.
Martin Luther hat das folgerichtig erkannt und den Ablasshandel angeprangert – ganz wortwörtlich.
Verhalten wir uns im Internet datenunmoralisch, dann müssen wir lernen, mit den Folgen umzugehen.
Auch hier schützt uns kein moderner Ablassbrief in Form von Lizenzgebühren an Schlangenölverkäufer.
Das müssen wir – 500 Jahre nach Martin Luther – wohl erst erneut schmerzhaft lernen.
Wir können uns nicht freikaufen von unserem Fehlverhalten.

Aber wir können lernen, Fehlverhalten zu vermeiden und uns statt dessen datenmoralisch gut zu verhalten.

Blindes Vertrauen auf Technik macht uns blind im Handeln

Wenn wir blind darauf vertrauen, dass die Technik uns schützt, führt dies zu blindem und unvorsichtigem Handeln.
Es kann sein, dass wir ungestreift durch das virtuelle Minenfeld navigieren – schließlich findet ja auch das blinde Huhn seinen Korn und höhere Fügung mag uns auch leiten – gleichwohl, ich glaube nicht daran.
Blindes Vertrauen in dieser virtuellen Welt ist offenen Auges ins Verderben zu wanken.
Wir müssen wachsam sein – das ist der Preis für unsere Privatsphäre.
Technikgläubigkeit ist Verantwortungslosigkeit.
Wir können natürlich so handeln – aber dann dürfen wir nicht jammern, wenn unsere Privatsphäre geraubt wird und wir unsere Freiheit verlieren.

Wenn wir im Auto einen Sicherheitsgurt anlegen, heißt das auch nicht, dass wir immer mit 180 km/h über die Straßen rasen können.
Vertraut nicht blind auf die Technik – seid achtsamer im digitalen Miteinander.

Weil alles schnell gehen kann, heißt das nicht, dass wir alle Vorsicht außer acht lassen sollen.

Straßenverkehr und Führerschein

Was hat das mit Schlangenöl und echtem virtuellem Risiko zu tun?
Für den einen Bereich benötigen wir eine Fahrerlaubnis, vorherigen Unterricht und eine bestandene Prüfung – für den anderen Bereich können wir ohne jede Ahnung, Ausbildung und Information einfach mal loslegen – und uns dabei schlimmstenfalls vollkommen nackt machen.

Mir ist es schleierhaft, warum wir eine Technologie, die unsere gesamte Identität und unsere Zukunft beeinflussen, verändern und sogar massiv schädigen kann, vollkommen ohne den Nachweis von Grundkenntnissen einsetzen (dürfen).
Aktuell fordert die Gesellschaft einen derartigen Privatsphären-Führerschein nicht.
Aber wir können uns selbständig weiterbilden – oder bei mir etwas Analoges erlernen.

Das heißt nicht, dass wir jetzt alles allein lernen müssen - wir können jemanden fragen.

Was also kann ich tun?

Eines von zwei Versprechen aus meinem letzten Artikel halte ich ein:
Ich ende auf einer positiven Note!
Wer es bis hierher geschafft hat, der hat ein geistig-moralisches Gutsele in Form von Empfehlungen verdient. Was also können wir tun, um sicher im Internet unterwegs zu sein, ohne uns auf die Technik-verliebte Schlangenöllösung zu verlassen.

  • Nachdenken:
    Innehalten und Gehirn einschalten – anstatt jeder Verlockung im Internet unreflektiert zu folgen.
  • Nachprüfen:
    Stellen wir uns die folgenden Fragen, bevor wir auf einen Link klicken oder den Anhang öffnen.
    1. Kenne ich den Absender?
    2. Passt der Anhang?
    3. Zeigt der Link auf die Seite, die ich erwarte?
  • Nachfragen
    Und wenn etwas unklar ist, einfach nachfragen.
    Ein kurzer Anruf beim Absender genügt, um zu prüfen, ob die E-Mail mit dem unerwarteten Anhang wirklich von diesem Absender kommt.
    Wenn etwas unklar ist – schickt mir eine Mail.

Wir können nicht alles wissen – und selbst wenn wir einen Führerschein gemacht haben – wissen wir immer noch nicht alles über Autos und den Straßenverkehr.
Auch hier haben wir die Möglichkeit, einfach nachzufragen – warum sollten wir dies im Bereich Informationsverarbeitung nicht in dieser Form praktizieren?
Der IT-Bereich ist schließlich viel komplexer – und betrifft darüber hinaus auch deutlich mehr Gesellschaftsbereiche als der Straßenverkehr.

TL;DR

  • Der Mensch steht im Mittelpunkt – und damit der Technik im Weg: Der Mensch – die Sollbruchstelle in der digitalen Datenschutzkette
  • Sicherheit ist ein Gefühl: Gefühlte Sicherheit ist ein echtes Risiko
  • Hommage ans Lutherjahr: AV-Software als moderner Ablassbrief
  • Es geht hier um Wissen – nicht um bloßes Vertrauen: Blindes Vertrauen in Technik macht uns blind im Handeln
  • Analogie im Alltag: Straßenverkehr und Führerschein
  • Some Good Things: Was also kann ich tun?
  • Ending on a positive note: Was also kann ich tun?

Und wieder mein Aufruf:
Erhebt euch aus eurer selbstverschuldeten Unwissenheit.
Macht euch Gedanken, bildet euch weiter.
Ihr seid eurer bester Schutz vor Identitätsdiebstahl und Freiheitsverlust.

Fragen? Anmerkungen?

teilen + spenden

Warum AV nicht funktioniert

Heute sammle ich einige Gedanken hinsichtlich Schlangenöl (und stelle diese auch vor – heute mal wirklich ausführlich…).
Meine These:
Antiviren-Software taugt nicht als System zum Schutz unserer IT-Systeme und damit unserer Daten.

Was Schlangenöl kann… nicht!

Zunächst einmal betrachten wir kurz, was AV – besser deren Hersteller – uns versprechen zu tun; vor welchen Gefahren sie uns bewahren wollen.
Dieser Leistungsumfang – so ist mein Eindruck – geht mittlerweile weit über das klassische Virenscannen hinaus.
Ich schwanke an dieser Stelle schon zwischen den Gedanken

  • Schuster, bleib bei deinen Leisten.” und
  • Aha, ham se jetzt doch erkannt, dass AV nicht mehr der cybertechnischen Weisheit letzter Schluss ist?

Also, hier meine unvollständige Liste der vollmundigen Versprechungen, die uns die Schlangenölhersteller offerieren:

  • Schutz vor Ransomware
  • Schutz vor Zero-Second (es reicht hier augenscheinlich nicht mehr, von Zero-Day zu sprechen – es muss hier in Ich-hab-aber-den-Längeren-Manier noch einer draufgelegt werden) Angriffen
  • Auto-Updater
  • Daten-Shredder
  • Sichere Zahlungen
  • Passwort-Manager
  • Anti-Spam
  • Firewall
  • Verhaltensschutz
  • Blocking microfone and webcam access (Kaspersky): same shit as Samsung-TVs – wenn du den Bösen blocken willst, musst du immer überwachen
  • Regulate the use of apps and check your childs location (überwachung pur!)

Na, da bieten die Schlangenölverkäufer doch fast die eierlegende Wollmilchsau an – es fehlt eigentlich nur noch, dass es auch das Auto waschen und die Hausaufgaben der Kinder kontrollieren kann.
Aber was nicht ist kann ja noch werden.

Wenn ich mir diesen Wust an versprochenen Funktionalitäten und dysfunktionalen Versprechungen betrachte, fühle ich mich an Smartphones erinnert:
Die versuchen sich auch an jeder möglichen und unmöglichen Funktion – und scheitern grundsätzlich an allem.
Ganz besonders an ihrer Grundfunktionalität:
der Telefonie.

Wenn man alles tun will, erreicht man im Endeffekt – gar nichts.

Ich will hier jedoch kein Marketing-Bashing betreiben – Werbung ist immer übertrieben.
Aber für mich ist die Grenze erreicht, wo es von schlichter Übertreibung zur Gefährdung der Anwender eines Produktes kippt.
Und ich sehe bei Schlangenöl diese Grenze als überschritten an.
Schlangenöl übertreibt nicht einfach nur, was es alles an Leistungen bietet – nein, der Einsatz von AV auf einem Computersystem schwächt dieses System und gefährdet damit den Anwender.

Was Schlangenöl anderen überlassen sollte

Ausgehend von der Liste der mannigfaltigen Versprechungen der Schlangenölbranche liefere ich jetzt sinnvolle und bessere Alternativen zu den einzelnen großspurigen Versprechungen der Alles-aus-einer-Hand-Lösungen.

  • Daten-Shredder:
    Um Daten sicher – und unwiderbringlich – zu löschen, brauchen wir uns nicht in die Hände der Schlangenölbranche zu werfen.
    Es gibt für diesen Anwendungsfall dedizierte Lösungen, die diese Aufgabe schnell, effektiv und ohne den unnötigen Overhead einer Alles-in-Einem-Anwendung erledigen.
    Unter Windows empfehle ich hier DBAN (Darik’s Boot and Nuke)
    Für macOS und Linux können wir shred und wipe einsetzen.
  • Sichere Zahlungen:
    Was wollen die Schlangenöler hier eigentlich anbieten?
    Das ist auch ein weiterer Punkt, der mich ungemein ärgert:
    Der Nutzer einer AV-Suite wird dumm gehalten.
    Anstatt zu erklären, worauf es denn bei sicheren Zahlungen im Internet ankommt – nämlich eine geschützte HTTPS-Verbindung mit einem gültigen und vertrauenswürdigem Zertifikat – verschleiert die AV-Lösung dieses Wissen vor dem Anwender und spiegelt dem unbedarften Nutzer vor, die Sicherheit käme durch das Schlangenöl.
    Das ist aber nicht so.
    Für die Sicherheit sind die Shop-Betreiber bzw. die entsprechenden Banken und Finanzdienstleister verantwortlich.
  • Passwort-Manager:
    Das ist ein Anwendungsfall, den wir auf gar keinen Fall dem Schlangenölhersteller als Aufgabe übertragen wollen.
    Das wäre so, als würden wir einem dubiosen Sicherheitsdienst die Schlüssel zu unserem Haus, unsere Autoschlüssel, die Kreditkarten und unsere EC-Karte inklusive PIN überlassen.
    Ein Passwort-Manager ist eine derart sensible Angelegenheit, die vertrauen wir maximal einer eigenständigen, vollständig offenen und definitiv offline arbeitenden Anwendung wie KeePass/KeePassX an.
    Wenn wir unsere Passwörter einer “Rundum-Glücklich”-Lösung wie Schlangenöl anvertrauen, dann wissen wir schlicht und ergreifend nicht, was mit den Daten passiert.
    Schlangenöl ist Closed Source – wir können die Quelltexte nicht einsehen – und wir haben dadurch einfach keinen Einblick in das, was im Hintergrund mit unseren Daten geschieht.
    Darüber hinaus ist eine AV-Lösung dauerhaft mit dem Internet verbunden (ansonsten funktioniert das ganze Spiel nämlich nicht) und wir haben keine Kontrolle darüber, welche Daten wohin gesendet werden.
    Vertraue niemandem!
    Agent Mulder hat damit ja so recht.
  • Firewall:
    Eins haben inzwischen alle Hersteller von Betriebssystemen verstanden, nämlich die Notwendigkeit, dass eine Firewall Bestandteil des Betriebssystems sein sollte – und generell bereits ist.
    Ist es das nicht, lässt es sich einfach als eigenständige Lösung nachträglich installieren.
    Das ist einfach keine der Aufgaben, die von einer Schlangenöllösung übernommen werden sollte.
    Nehmen wir einmal den folgenden – gar nicht so weit hergeholten – Fall an:
    Ein System wird von AV (inklusive Firewall) “geschützt”.
    Ein Angreifer schafft es, diese AV ausser Kraft zu setzen (was oft einer der ersten Schritte ist, die ein Angreifer ausführt).
    Dadurch setzt der Angreifer die (quasi “integrierte”) Firewall ebenfalls ausser Kraft.
    Schade.
    Wäre die Firewall eine eigenständige Anwendung, hätte es der Angreifer bedeutend schwerer, diesen echten Schutzfaktor auszuschalten.
    Wenn der Angreifer die AV ausschaltet, ist die Firewall grundsätzlich mal nicht automatisch mit betroffen (es sei denn, es handelt sich eben nicht um eine eigenständige Lösung).
  • Anti-Spam:
    Der Schutz vor Spam-Mails ist ein weiteres Beispiel dafür, dass die Schlangenölhersteller (wie so viele andere auch) mittlerweile im Revier anderer Software-Hersteller wildern.
    Anti-Spam wird dort eingesetzt, wo Spam auftritt:
    Im Mailclient.
    Und dieser kümmert sich bestenfalls auch genau darum.
    Jeder Mailclient – sei es Outlook, Thunderbird oder welcher Mailclient auch immer den Postdienst versieht – er hat bereits die eine oder andere Anti-Spam-Implementierung eingebaut.
    Dafür brauchen wir keine Schlangenöl-Suite.
    Brauchen wir einfach nicht.
  • Verhaltensschutz:
    Achja, bei Verhaltensschutz muss ich irgendwie an die “No loitering“-Schilder denken.
    Verhaltensschutz wird zunehmend auch im Bereich Video-Überwachung getestet – und funktioniert dort ebenso schlecht wie beim Schlangenöl.
    Beim “Verhalten” ist eines der Hauptprobleme, dass “normgerechtes” Verhalten erst mal definiert und programmiert sein muss, um Auffälligkeiten im Verhalten zu erkennen.
    Und da fängt das Problem schon an.
    Was ist denn “normgerechtes” Verhalten (Bereich Video-Überwachung) eigentlich genau?
    Wenn jemand humpelt (sich also möglicherweise außerhalb der “Bewegungs-Norm” bewegt), gibt es dann Grund zur Sorge?
    Ist derjenige dann potenziell gefährlich?
    Vielleicht weil er schwer an seinem Bombenrucksack trägt, oder weil er ein Steinchen im Schuh hat?
    Oder doch, weil er (oder sie) sich im engen Schuhwerk Blasen gelaufen hat?
    Wenn jemand auf dem Boden sitzt, “loitert” er dann gerade (rechtswidrig) oder ruht er sich vielleicht nur aus?
    Und genauso verhält es sich mit Software.
    Was ist denn hier schon verhaltensauffällig, was ist noch normales Verhalten?
    Ich finde ja den Datenhunger von Anwendungen wie WhatsApp extrem verhaltensauffällig – dies sieht Schlangenöl jedoch anders.Und auch an anderer Stelle können wir etwas über “Verhaltensprüfung” lernen – Dieselgate.
    Die Softwaresteuerung von Dieselmotoren erkannte ganz zuverlässig, wenn diese sich im Prüfungsmodus befanden – und haben sich dann ganz unauffällig verhalten.
    Und wir können wohl annehmen, dass dies den Herstellern von Schadsoftware auch gelingt – und der Prüfung durch Schlangenöl ganz normgerechtes Verhalten präsentiert.
  • Webcam- und Microphone-blocking:
    Ja, jetzt wird’s ja ganz gruselig – nun will das Schlangenöl also das überwachen, was ich möglicherweise komplett verhindern will:
    Das ungewollte Ausnutzen von Webcam und Mikrofon.
    Das ist keine Funktion, die wir – ich wiederhole mich – einer Software überlassen, die Closed Source ist und dauerhaft am Internet hängt und wir nicht wissen, wann diese Daten überträgt und wohin.
    Bei SmartTVs klemmen wir diese Funktion ja auch vollständig ab – weil wir nicht wollen, dass wir rund um die Uhr abgehört oder beobachtet werden – und jetzt sollen wir diese Kontrolle einer Software überlassen, von der wir nicht wissen, was sie im Hintergrund so alles macht?
    Niemals! sage ich.Nochmals zur Erklärung:
    Damit eine Software mitbekommt, wann jemand – unberechtigt – Zugriff auf Funktionen meines Computers hat, muss diese Software die Funktion (in diesem Fall Webcam und Mikrofon) dauerhaft selbst überwachen.
    Das will ich nicht.
    Der beste Schutz vor Beobachtung durch meine Webcam ist es, diese einfach abzukleben.
    Ganz analog.
  • Kinder überwachen:
    Also, wenn ich damit anfange, die Anwendungen und Geräte meiner Kinder zu überwachen, warum dann nicht gleich so weit gehen und ihnen einen Chip implantieren?
    Das hat nichts mit Sicherheit zu tun – das ist neurotischer Überwachungswahn, erwachsen aus einem falsch verstandenen Wunsch, unsere Kinder vor Schaden zu bewahren.Aber so funktioniert das nicht.
    Mit diesem eklatanten Verstoß gegen die Privatsphäre unserer Kinder und einem kaum wieder gut zu machenden Vertrauensbruch treiben wir unsere Kinder mit einem derartigen Verhalten nur noch weiter von uns fort.
    Wir müssen Kinder begleiten und durch das Vorleben von beispielhaftem Verhalten zu selbstbewussten Nutzern digitaler Kommunikationsmittel erziehen.
    Wir dürfen sie nicht durch Angst und Misstrauen zu obrigkeitshörigen Sicherheitsfanatikern verbiegen.
  • Sandboxing
    Unter Sandboxing verstehen wir das Ausführen verdächtiger Dateien in einem geschützten Bereich – eben einer Sandkiste.
    Wir denken dabei nicht an eine Sandkiste im Kontext von Förmchen und Sandkuchen (auch nicht den Sandkuchen – verfressene Bande!).
    Sondern wir stellen uns dabei eine Sandkiste im Hinblick auf Blindgänger und Entschärfung von illegalen Feuerwerkskörpern vor.
    Kra-Wumm! eben.
    So eine Sandkiste haben wir im Hinterkopf, wenn wir von “Sandboxing” reden.
    Das Sandboxing ist aktuell der neueste “heiße Scheiß” der Schlangenölbranche – und war ursprünglich als der Heilsbringer beim Schutz gegen Schadsoftware gedacht – und wurde dann in der Branche rumgereicht wie der heilige Gral.
    Dummerweise eben der schön verzierte, golden glänzende.
    Und wir wissen ja, was mit Walter Donovan passierte, als er vor Indiana Jones aus diesem Becher getrunken hat…
    Der heilige Gral der Schlangenölbranche – äh, moment, die Sandkastenspiele – haben vier Probleme.Raum, Zeit, interdimensionale Wurmlöcher und schlechte Laune.
    Nee, das jetzt nicht – also ist das zumindest noch niemandem auf die Füße gefallen.Das erste Problem von Sandboxing ist die Erkennung von Malware, die ich in der Sandbox detonieren will (das heißt wirklich so – kein Spaß).
    Wir können ja schließlich nicht alles erst in der Sandbox ausführen, um bei 95% der Dateien festzustellen, ah ja, alles in Ordnung.
    Pack deine Förmchen zusammen, raus aus der Sandkiste, genug gespielt – die nächste Datei bitte.
    Also brauchen wir hier wieder – ja, richtig – eine Verhaltenserkennung.
    Und die ist nachgewiesener Maßen miserabel.
    Was zur Folge hat, dass wir entweder mehr Dateien prüfen müssen (kostet Zeit) oder uns Schadsoftware durchrutscht (kostet auch Zeit – nur eben etwas später – und unsere Daten).
    Beides blöd.Das zweite Problem dabei ist, dass Schadsoftware erkennt, dass es in einer Sandkiste spielen soll.
    Und was macht die Schadsoftware?
    Ist ja nicht blöd, hat sich vorher mit seinen Kumpels über Dieselgate unterhalten und versteckt sein schadhaftes Verhalten (und grinst dabei schändlich).
    Ergo, Sandkiste bringt wieder nix.
    Und das dritte Problem – so eine Sandkiste ist eben auch nicht vollkommen sicher.
    Da fliegen beim Bomben entschärfen schon mal Splitter aus der Sandkiste raus – da will man am liebsten möglichst weit entfernt sein, sonst kann das böse ins Auge gehen.
    Und solches Verhalten (Ausbüchsen aus der Sandkiste, “Splitterwirkung” und ähnliches) kann Schadsoftware mittlerweile auch.
    Und nicht nur Splitterregen.
    Sicherheitsforscher haben mittlerweile erfolgreich den Ausbruch von Schadsoftware aus einer Sandbox nachgewiesen.
    Und dann ist die Schadsoftware halt mal ganz eifrig in unserem ganzen System zugange.Das verheerendste Problem von Sandboxing sitzt jedoch vor dem Computer.
    Der Anwender.
    Dieser lässt sich nämlich gestützt von der Fehlannahme, er sei jetzt durch eine Sandbox vor den schadhaften Auswirkungen von Malware geschützt, zu unsicherem und nachlässigen Verhalten verführen.
  • Auto-Updater
    Ach, seufz.
    Was für eine hanebüchene Idee (vermutlich mal wieder der Bequemlichkeit wegen).
    Ein Autoupdater.
    Für alle Programme.
    Da kann ich mir gar nicht vorstellen, was da schief gehen soll.
    Zum einen legt dieses Vorgehen wieder zuviel Macht in eine Hand.
    Warum soll jetzt meine AV-Suite entscheiden, wann die Software auf meinem System aktualisiert wird?
    Das sollen die Programme selbst erledigen – die wissen am Besten, wann eine neue Version erschienen ist.
    Zu behaupten, AV könne dies schneller erledigen als die Hersteller der jeweiligen Programme, muss zwangsläufig gelogen sein, wer könnte dies wohl besser als der Hersteller ???”Mit dem automatischen Software Updater sind Sie den neuesten Updates Ihrer anderen Apps voraus.” – Avast- das ist einfach eine vollkommen lächerliche und haltlose Werbelüge.
    Was ist, wenn die AV plötzlich einfach böse wird und schlicht behauptet, es gibt keine Updates für meine Programme?
    Oder plötzlich gefälschte Updates verteilt?
    Man würde dies als Anwender spät – oder gar nicht bemerken.

Ich habe mehrfach als Alternative zu einigen Ideen der Schlangenölbranche dedizierte Lösungen empfohlen.
Dies hat natürlich zur Folge, dass wir Bequemlichkeit einbüßen – aber wir gewinnen viel mehr dafür.
Wissen und Kenntnis.
Und das sind die wahren Waffen, die uns im Kampf gegen Schadsoftware helfen.

Das System ist kaputt – vergiss das System

Was aber sind die grundlegenden Probleme, weshalb Antiviren-Software nicht funktioniert?
Ich breche es auf die folgenden sieben Punkte herunter – die sieben Systemschäden.

  1. Signaturbasiert erkennt nur Bekanntes
    Klassischerweise erkennt Schlangenöl Schadcode dadurch, dass diese Schadsoftware von AV-Herstellern entdeckt wurde.
    Daraufhin bekommt dieser Schadcode eine Signatur – einen eindeutigen Identifikator.
    Diese Signatur wird an die Anwender des Antivirenprogramms per online-update verteilt, etwa zwei- bis viermal täglich.
    Damit sind die AV-Programme in der Lage, neu entdeckte Schadprogramme zu erkennen.
    Und das ist das Problem.
    AV erkennt nur Bekanntes.
    Eine Schadsoftware muss als solche erkannt und katalogisiert werden – alle anderen Verfahren (Verhaltensbasiert und Heuristiken – also Berechnungen von möglicher Schadhaftigkeit) sind einfach zu ungenau und führen entweder zu Fehlalarmen oder lassen Schadcode unerkannt passieren.
  2. Signatur-Updates sind zu langsam
    Dieses Problem hängt mit dem ersten Problem von AV zusammen.
    Die Zeitspanne zwischen Entdeckung einer neuen Schadsoftware und der Verteilung neuer Signaturen ist viel zu groß.
    Selbst im theoretischen kurzen Update-Intervall von zwei Stunden ist diese Zeitspanne lang genug, um selbst vermeintlich AV-geschützte Systeme mit dieser neuen Schadsoftware zu infizieren.
    Wir müssen im Hinterkopf behalten, wir bewegen uns im Internet.
    Ein weltumspannendes Netzwerk von Computernetzwerken, in welchem Daten in Sekunden übertragen werden können.
    Und dies nutzen die Hersteller von Schadsoftware aus.
    Erkannt wird ihr Schadcode (früher oder später).
    Aber der kurze Zeitraum zwischen Erkennen der Schadsoftware, Erstellen der Signatur und Update reicht aus für eine Infektion.
  3. Codesigning ist auch keine Lösung
    Codesigning – das “Unterschreiben” von Software – ist eine weitere angebliche Wunderwaffe der Software-Hersteller.
    Dabei soll sichergestellt werden, dass geprüfter und schadsoftwarefreier Code durch eine “Unterschrift” im Quelltext als sicher eingestuft wird.
    So eine im Quelltext signierte Software wird von AV besonders wohlwollend betrachtet und nahezu ungeprüft durchgewunken.
    Leider wurde das System Codesigning schon erfolgreich gebrochen.
    Dabei wurde unter einer gültigen Signatur Schadsoftware verteilt.
    Und damit hebelt man das System AV vollständig aus.
  4. Schlangenöl ist Software
    Und Software schwächt das System.
    Klingt fies, ist es auch.
    Aber wir müssen immer im Auge behalten, dass jede Software Fehler hat.
    Und Fehler werden von Angreifern ausgenutzt, um Schadsoftware in das angegriffene System zu bringen.
    Je mehr Software wir auf unserem System haben, desto mehr Angriffspunkte geben wir preis.
    Und AV ist ein Softwareprodukt.
    Und dieses enthält eben auch Fehler.
    Und AV hängt dauerhaft im Internet und bietet dadurch noch mehr Angriffspunkte.
    Und je umfangreicher die Funktionalität der AV-Suite wird, desto mehr Fehler enthält sie und desto größer ist die Angriffsfläche.
  5. Systematischer Fehler “always on”
    Die notwendige dauerhafte Verbindung ins Internet, um stets die aktuellsten Signatur-Updates zu bekommen, ist ein systematischer Fehler bei AV-Programmen.
    Diese dauerhafte Verbindung führt selbst bei (gerade aufgrund von hohen Sicherheitsanforderungen explizit vom Internet getrennten) Systemen zu Angriffsszenarien.
    Denn selbst bei solchen “airgapped” genannten Systemen gibt es oftmals – in Hinblick auf die erhöhten Sicherheitsanforderungen – Ausnahmen für Schlangenöl.
    Denn Schlangenöl bringt gar nichts mehr – das wissen die Anwender – wenn die Signaturen veraltet sind.
    Also darf – selbst bei airgapped Systemen – AV dauerhaft am Internet nuckeln.
    Und dieses Schlupfloch wird ausgenutzt – nicht etwa, um Schadsoftware in das System zu bringen, sondern um vertrauliche Daten aus dem System zu stehlen.
    Herzlichen Glückwunsch, Schlangenölhersteller, da habt ihr die Sicherheit ja phänomenal erhöht.
  6. Wer online prüft, verliert – Daten
    Das jüngst bei dem Schlangenölhersteller Carbon Black aufgetretene Datenleck zeigt eine weitere Lücke im System AV.
    Carbon Black – und auch andere AV-Hersteller – laden verdächtige Dateien zur weiteren Prüfung in die große Datenwolke hoch.
    Solche cloudbasierten Prüfungen haben den immensen Vorteil, dass angemietete Rechenkraft die Prüfung deutlich beschleunigt.Und sie haben den irrsinnigen Nachteil, dass es einfach Rechner anderer Leute sind, die hierzu eingesetzt werden.Jetzt müssen wir nur noch in unserem vermeintlich hochsicheren System dafür sorgen, dass eine vertrauliche Datei, die ich stehlen will, als verdächtig eingestuft wird.
    Schon wird mir diese Datei quasi auf meinem Wolkenteller präsentiert, weil sie ja zur cloudbasierten Prüfung hochgeladen wird.
    Dort muss ich mir diese Datei nur noch abholen.
    Vielen Dank, liebe Schlangenölhersteller, jetzt muss ich bei meinen Zielpersonen gar nicht mehr in ihr System einbrechen – ihr liefert mir die Daten frei Haus.
  7. Es ist der Schlangenölbranche einfach egal
    Wie sagt es Quark bei Deep Space Nine so treffend:

    "Krieg ist gut fürs Geschäft."

Warum sollte die Schlangenölbranche denn an einer Lösung des Problems interessiert sein?
Solange das Problem Schadsoftware existiert, verdient die Schlangenölbranche mit.
Je mehr Schadsoftware, desto besser.
Und vielleicht stecken ja wirklich die Ferengi hinter der Schlangenölbranche.
Mit Angst lassen sich noch am besten Waffen verkaufen.

Was hilft – was nützt – was wirklich schützt

Ich gebe meinen Vorsatz, meine Artikel auf einer positiven Note enden zu lassen, nicht auf.
Heute wird es klappen; hier kommen einige Ideen, was uns wirklich schützen kann – ganz ohne Schlangenöl.

  • Weniger (Software) ist mehr (Sicherheit)
    Weniger Programme bedeuten eine geringere Angriffsfläche und dadurch eine erhöhte Sicherheit.
    Deswege empfehle ich programmatischen Minimalismus.
    Beschränk dich auf das Notwendigste, sicherheitsaffiner Leser!
  • Digitale Hygiene
    Accounts, die wir nicht benutzen, löschen wir.
    Was wir nicht haben … kann uns nicht schaden
    (Es reimt sich. Und alles, was sich reimt, ist gut!)
  • Uffpasse!
    Augen auf im Datenverkehr – und Hirn einschalten.
    Erst nachdenken, dann klicken.
    Unsere digitale Achtsamkeit ist der allerbeste Schutz unserer Daten und unserer digitalen Identität.
    Weiterbilden, lernen, nachfragen und verstehen – dies sind die wirksamsten Schutzschilde für uns.

Wer sich bis hierher durchgekämpft hat – Glückwunsch!
Meinem Versprechen, auf einer positiven Note zu enden, füge ich an dieser Stelle auch das Versprechen hinzu, mich künftig kürzer zu fassen.
(wers glaubt…)

TL;DR

  • Wunderbare Werbewelt: Was Schlangenöl alles kann – nicht!
  • Nicht deine Baustelle: Was Schlangenöl anderen überlassen sollte
  • Systematically broken: Das System ist kaputt – vergiss das System
  • Was tun? Was tun? Was lassen?: Was hilft – was nützt – was wirklich schützt

Und heute zum Abschluss mein klarer Aufruf:
Gehet hin und löschet euer Schlangenöl von euren Systemen!
Hinfort! Vade retro, satanas!

Fragen? Anmerkungen?

teilen + spenden

95% Erkennungsrate sind 100% verantwortungslos

In den kommenden vier Artikeln machen wir einen Ausritt in den Wilden Westen – dahin wo Versprechungen noch Versprechungen sind und wo echte Männer noch ihr Geld mit Lug und Trug verdient haben:
mit dem Verkauf von Schlangenöl.

Für unseren Ausflug brauchen wir weder eine Zeitmaschine noch ein ESTA-Formular.
Wir bekommen unser modernes Schlangenöl hier:
Im Wilden virtuellen Westen (und Osten) des digitalen Raumes.

Schlangenöl wurde ursprünglich während der Landnahme durch die Siedler im Nordamerika des späten 19. Jahrhunderts als Wundermittel gegen jedwede Krankheit verkauft, die den aspirierenden Pionier auf seinem Weg zum Glück ereilen konnte.
Und in eben dieser Tradition wird heutigen Tags digitales Schlangenöl in Form von Antiviren-Software dem digitalen Pionier als Allheilmittel gegen Schadsoftware in jeglicher Form angepriesen.

In dieser Reihe stelle ich vor, warum AV-Produkte eben Schlangenöl sind.
Ich werfe zunächst einen Blick auf die wohlklingenden Statistiken der Schlangenölbranche.
Im zweiten Teil betrachte ich einige Gründe, warum Schlangenöl nicht funktioniert.
Den dritten Teil widme ich dem grundlegenden Problem einer Vireninfektion: dem Menschen.
Und im abschließenden Teil gebe ich einen Ausblick darauf, was uns wirklich gefährdet – nämlich fliegende Robotersaurier aus der Zukunft!
Nein, nur Spaß.
Wir schauen uns an, wie unser Verhalten zu unserer Gefährdung beiträgt.
Die fliegenden Robotersaurier aus der Zukunft sind nur schmückendes Beiwerk.

So, jetzt holt sich jeder noch ein Eis und dann reiten wir los in den Wilden Westen und schauen uns diese Schlangenölsache näher an.

Gesundbeten und Handauflegen hilft mehr

Würden wir unsere Lebensmittel in dem Maße reinigen, wie Schlangenöl unsere Computer vor Viren schützen, dann hätten wir ein mächtiges Problem.
Denn Erkennungsraten von 95% bedeuten im Umkehrschluss, dass mindestens 5% aller Viren nicht erkannt werden.
Ich komme später auf diese Zahlen zurück.
Werfen wir inzwischen nochmals einen Blick auf unsere Lebensmittel.

Damit eine Kakaobohne als keimfrei anerkannt wird, muss sie eine Keimfreiheit von 99,9% aufweisen.
Bei pasteurisierter Milch wird die Keimfreiheit erst bei 99,999% angenommen – und selbst die hält nicht ewig, Milch wird schon nach einigen Tagen sauer.
Aber Erkennungsraten von nur 95%?
Und das sind, laut VirusBulletin, die Spitzenergebnisse der Schlangenöl-Branche.

Virus Bulletin RAP quadrant August 2016 - February 2017
Damit würde unsere Milch quasi direkt aus dem Euter heraus bereits sauer gemolken werden.
Betrachten wir die Zahlen mal aus der Nähe.
Die 95% Erkennungsrate sichert uns nicht zu, dass wir zu 95% unserer Zeit am Computer 100-prozentigen Schutz vor allem genießen, sondern dass von 100 Schadsoftware-Programmen, die uns angreifen, 95 entdeckt werden.

Fünf kommen durch.
Fünf infizieren unseren Rechner.

Einer reicht, um Schaden für uns anzurichten.
Ob wir uns jetzt dabei einen Banking-Trojaner, zwei Keylogger, eine Ransomware und eine Malware, die Bitcoins schürft, eingefangen haben, ist dabei zunächst egal.
Wenn wir die Infektion feststellen – was in dem einen Fall (Ransomware) schneller gehen kann als in dem anderen (Bitcoin-Mining-Malware) – ist die daraufhin folgende Aktion identisch:
Tabula rasa.
Neues Spiel – neues Glück.
Und diesmal vielleicht besser aufpassen.
Hatte ich von Anfang an kein Schlangenöl auf meinem Rechner, erwischt mich – weil ich halt doch einmal unvorsichtig war – auch ein Trojaner.
Gleiches Spiel:
System neu aufsetzen.
Von daher erkaufen wir uns für teures Geld – ja, Schlangenöl kostet Geld! – ein wenig “gefühlten” Schutz.
Ich rede hier nicht von den kostenlosen Lockangeboten, bei denen mir immer wieder Albert Einstein einfällt:

 "Was nichts kostet, ist nichts wert."

Also zurück zu meiner Argumentationslinie.
Wir erkaufen uns für teures Geld die reine Illusion von Sicherheit.
Wenn wir uns Sicherheit im Wirkbereich des Schlangenöls kaufen wollen und uns nicht dem zusätzlichen Risiko, den wir durch den Einsatz von Virenscannern eingehen, aussetzen wollen, dann können wir auch einen Schamanen engagieren, der regelmäßig unsere Rechner gesund betet und seine Hand auflegt.
Das hat eine vergleichbare Wirkweise und ist sogar noch besser, da es die Angriffsfläche auf unseren Computer nicht zusätzlich erhöht.
Außerdem fördern wir möglicherweise noch die Akzeptanz von handauflegenden Schamanen.

Wir erkennen, was wir kennen

Wovon sprechen die modernen Quacksalber überhaupt, um uns in Angst zu hüllen und daraufhin unser Geld im Tausch gegen digitale Heilsversprechen entgegen zu nehmen?
Zum einen werden irrsinnig hohe Zahlen für alles mögliche geliefert:

"Im Schnitt verzeichnen die Experten der G DATA SecurityLabs alle 4.2 Sekunden eine neue Signaturvariante." - G DATA

(Die Signatur ist quasi der Fingerabdruck eines Computerviruses)
Aber was hilft mir das – mein Virenscanner aktualisiert sich halt nur alle 12 Stunden mit neuen Virendefinitionen.

"61 % der Befragten haben Angst vor dem Verlust von Fotos und Videos." – Umfrage Acronis

Ja und was hat das Bitte mit einem Virenscanner zu tun?
Liebe Schlangenöl-Verkäufer, ihr spielt hier mit den Ängsten von Anwendern, das ist nur in einer Richtung zielführend:
Nämlich euren Umsatz zu steigern.

"Fast 106 Mio. Spam-Mails pro Tag haben die Deutschen in 2015 empfangen. - Statista 2016

Hmm, tragisch, das sind knapp 1,3 Spam-Mails pro Tag für jeden Deutschen.
Jeder WhatsApp-Nutzer verbreitet im Schnitt geistigen Spam im Umfang von bis zu 600 Nachrichten pro Tag.
Stört auch keinen.
Ist das jetzt schlimmer?
Und auch hier wieder meine Frage:
Was hat das mit Virenscannern zu tun?
Nicht jede Spam-Mail ist per se virulent.

Salbungsvoll werden bei den Schlangenöllieferanten Erkennungsraten von 100% (und mehr!) suggeriert.
Ja – bei bereits bekannten Computerviren.
Etwas zu erkennen, dass ich bereits kenne, ist keine große Kunst.
Die Erkennungsrate von 100% bei bekannten Viren wird als Prognose auf die Zukunft gewertet.
Dies ist jedoch ein Trugschluss, denn – ähnlich wie Bakterien als Krankheitsauslöser – mutieren Computerviren; nur eben viel schneller.
Und jede neue Mutation muss neu erfasst werden – so kommen wir zu der hohen Frequenz bei der Erfassung neuer Signaturvarianten.
Allerdings schützt uns dies nicht – die Zeit zwischen der Erfassung einer neuen Virensignatur und der Aktualisierung des Virenscanners ist viel zu groß.
Die Infektion durch den neuen Virus kann in dieser Zeit nicht durch die vermeintliche Schutzsoftware verhindert werden.
Wir erkaufen uns mit Schlangenöl – für einen hohen Preis – ein Stück Bequemlichkeit und die Illusion von Sicherheit.
Bequemlichkeit, denn wir legen den Schutz unserer Daten und unserer digitalen Identität in die Hände einer vermeintlich sicheren Software.
Illusion von Sicherheit, denn wir neigen dazu, unser gesundes Mißtrauen zugunsten eben dieser vermeintlich sicheren Software aufzugeben.
Wähnen wir uns geschützt, so verhalten wir uns risikobereiter.
Wir beginnen, auf dem Drahtseil zu tanzen, die Tatsache ignorierend, dass das Netz darunter nur aus leeren Versprechungen besteht.

Was tun – statt Schlangenöl?

Wieder ist mein Plan, mit Hilfe und Rat zu enden anstatt mit Heulen und Zähneknirschen.
Also, was können wir tun?
Zunächst einmal, kritisch die Beweggründe der Schlangenölverkäufer hinterfragen.
Diese verdienen Geld mit unserem Sicherheitsbedürfnis.
Je mehr Gefahren sie uns aufzeigen können, desto einfacher können sie uns davon überzeugen, Geld für unsere gefühlte Sicherheit auszugeben.
Was hilft uns weiterhin?

  • Backup hilft uns
    Wenn uns ein Computervirus erwischt, dann müssen wir unser System neu aufsetzen.
    Die offensichtlichste Notwendig dazu besteht, wenn ein Erpressungstrojaner unsere Daten verschlüsselt hat.
    Dann ist es ganz klar, dass wir unser System neu einrichten müssen.
    Und an dieser Stelle hilft es ganz deutlich, wenn wir ein Backup unserer Daten haben.
    Bei jedem anderen Virus sollten wir analog vorgehen – auch wenn die Auswirkung der Schadsoftware nicht so direkt und eindrücklich ist.
    Haben wir einen Virus im System gefunden, dann wollen wir diesen los werden.
    Endgültig.
    Und das schaffen wir mit den Neuaufsetzen unseres Systems.
  • Nachdenken
    Erst denken – dann klicken.
    Dieser einfach Zwischenschritt vor dem unbedachten Klick auf einen Link in einer E-Mail bewahrt uns weitgehend vor unerwünschten digitalen Bewohnern unseres Computersystems.
    Die meisten Viren verbreiten sich immer noch per E-Mail – entweder als Link auf eine mit Schadsoftware präparierte Website oder über einen mit Malware verseuchten Anhang.
    Wenn wir immer zuerst prüfen, von wem die E-Mail kommt und uns im Zweifel einfach beim Absender rückversichern, ob dieser wirklich einen Link oder einen Anhang verschickt hat, so bewahrt uns dies vor einigem Ungemach.
  • Achtsam handeln
    Hilft nicht nur für gutes Karma und einen 1-A-Platz direkt an der Softeismaschine im Paradies, sondern schützt uns auch vor der ein oder anderen unachtsam eingefangenen Schadsoftware.
    Vieles lässt sich vermeiden, wenn wir einfach achtsamer durch unser digitales Leben gehen.
    Es sind oft nur Kleinigkeiten, die den Unterschied zwischen der gesuchten Bank-Seite und einer bösartigen Phishing-Seite ausmachen.
    Bei Links erweist sich dieses – zugegeben – unbequeme, aber sichere Vorgehen als guter Schutz:
    Lieber einen Link händisch in den Browser eintippen, als ungeprüft einen Link klicken.

Ein Zitat von G DATA will ich hier noch nennen – und korrigieren:

"Heutzutage kommt kein Top-Antivirus-Produkt mehr ohne proaktive Technologien aus." - G DATA PC Malware Report H2/2015

Meiner Meinung kommt heute kein Anwender mehr ohne proaktives Handeln aus.
Das differenzierte Vorgehen und das zielgerichtete Handeln – was Proaktivität definiert – schützt uns weit besser vor Schadsoftware als dies jede Software könnte.

TL;DR

  • Homöopathie für Rechner: Gesundbeten und Handauflegen hilft mehr
  • Numberfucking: Wir erkennen, was wir kennen
  • Es gibt Hoffnung: Was tun – statt Schlangenöl?

Fragen? Anmerkungen?

teilen + spenden

Lassen wir die Schlangenölhändler auf den Jahrmärkten des ausgehenden 19. Jahrhunderts zurück und nehmen den Schutz unser Privatsphäre und unserer digitalen Identität in die eigene Hand.
Digitale Selbstverteidigung schützt uns – auch vor Schlangenöl.