Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden Impressum 
Sie können sich hier anmelden
Dieses Thema hat 0 Antworten
und wurde 356 mal aufgerufen
 Sicherheit im Internet
Tanja31 Offline
Beiträge: 498

26.11.2007 16:45
Das Netz und seine Tücken 2 Antworten
Wenn man selbst nichts falsch macht…


Bloßgestellt im Netz:
Selbst wenn Sie das alles beherzigen, kann es passieren, dass andere Sie (unabsichtlich) bloßstellen. Die Bilder vom letzten Betriebsfest oder von der Strandparty auf Mallorca, das Foto, das Sie neben einer attraktiven Person zeigt, die Ihr Partner nicht kennt: Vieles lässt sich bei Flickr, Sevenload und anderen Foto-Communities aufspüren. Und oft finden Leute gar nichts dabei, mal eben mit der Handy- oder der Digitalkamera draufzuhalten. Dank Web 2.0 und Tagging (Kategorisieren, Zuordnung von Stichwörtern zu Einträgen oder Bildern), ist es oft auch nicht schwer, eine Person ausfindig zu machen, vor allem wenn man jemanden aus dessen persönlichen Umfeld kennt. Noch schlimmer ist es, wenn Personen gezielt fertig gemacht werden sollen. So berichtet beispielsweise eine Anwenderin in einem Rechtsforum, dass ihr Ex-Freund mindestens 44 Nacktbilder von ihr – teils pornografischen Inhalts – in Foren und Bilderdienste eingestellt hat, die insgesamt rund 50.000 Mal heruntergeladen wurden. Auf den Bildern sei auch ihr Gesicht zu erkennen. „Ich habe Kinder, bin selbständig tätig und habe einen guten Ruf zu verlieren“, berichtet die Frau. Ihre Chancen, zumindest Schmerzensgeld zu erhalten, stehen nicht schlecht. In einem ähnlichen Fall hat das Kieler Landgericht im Sommer 2006 einen 40-jährigen Kaufmann zur Zahlung von 25.000 Euro Schmerzensgeld verurteilt. Er hatte Nacktbilder seiner Ex-Freundin zusammen mit ihrer Adresse und Telefonnummer in Tauschbörsen verbreitet.
Fotomontage:
Bildbearbeitungsprogramme wie Photoshop & Co. machen es sogar möglich, Köpfe auf fremde Körper zu montieren. Das eröffnet weitere Chancen für verschmähte Liebhaber und missgünstige Mitmenschen. Eine gut gemachte Fotomontage ist für Laien nicht auf den ersten Blick als solche zu erkennen.

Schäden in Millionenhöhe


Passwortklau und Phishing:
Richtig unangenehm kann es für denjenigen werden, der bei jedem Online-Zugang – mehrere Mailkonten, Ebay-Konto, Online-Banking sowie Zugang zu Amazon, Flickr und diversen Foren – auf dasselbe Passwort vertraut. Das zeigt das Beispiel eines Anwenders aus Hessen, der versehentlich sein Notebook liegen ließ. Geklaut wurde ihm nicht nur sein tragbarer Rechner, sondern seine Online-Identität. Er schaffte es nicht, sich rechzeitig auf einem anderen PC einzuloggen, um sämtliche Passwörter zu ändern. Der unehrliche Finder des Geräts war schneller gewesen. Zu einem der Zugänge war im System das Kennwort gespeichert gewesen, so dass der Unbekannte sich einloggen und es auslesen konnte. Er probierte es auf anderen Sites aus – und war damit mehrfach erfolgreich. Er änderte das Passwort und sperrte den tatsächlichen Eigentümer des Zugang dadurch aus. Immerhin: Ein finanzieller Schaden entstand nicht, da der Banking-Zugang durch die Bankfiliale gesperrt werden konnte. Doch in verschiedenen Foren musste sich der Bestohlene eine neue Identität anlegen, da er auch über den Administrator nicht an seine alten Zugänge herankam.
Phishing:
Hier werden Anwender meist unter einem Vorwand dazu verleitet, ihre Zugangsdaten auf der vermeintlich echten Startseite eines Dienstes einzutragen. Sämtliche verwendeten PINs, TANs und Zugangscodes landen auf dem Server der Betrüger. Phishing ist keine Randerscheinung mehr, sondern ein ernsthaftes Problem, vor allem für Kreditinstitute und Online-Händler. Waren es in Deutschland im Jahr 2005 noch 2649 Phishing-Opfer, rechnet man für 2007 schon mit 4160 Betroffenen. Geschätzter Schaden: rund 19,5 Millionen Euro. Diese Summe hat sich seit 2005 fast verdoppelt. In den USA geht man sogar von einem volkswirtschaftlichen Schaden in Milliardenhöhe aus. Hier ist vor allem das Abfischen von Kreditkartendaten weit verbreitet.
Die auf Phishing spezialisierten Betrüger nutzen die fremden Zugangsdaten oft nicht selbst, sondern verkaufen sie über Server im Untergrund. 50 Cent bis 5 Euro kostet nach Expertenangaben ein Kreditkartenzugang
Vorsicht bei Verwaltungssystemen


Open ID & Co.: Gefährliches Spiel
Ein aktueller Trend, um Zugangsdaten effizient verwalten zu können, sind Dienste, die auf einer Sammelanmeldung basieren, etwa Open ID dabei handelt es sich um ein dezentrales System zur Verwaltung von Identitätsdaten. Der Anwender muss sich einmal bei einem Open-ID-Provider registrieren, etwa „Mein guter Name“. Hier werden alle notwendigen Daten hinterlegt. Bei weiteren Open-ID-kompatiblen Sites genügt es dann, einmal die ID und das Passwort anzugeben. Alles Weitere erfolgt über einen Datenbank-Zugriff.
Bei jeder weiteren Erstanmeldung kann der Anwender bestimmen, welche Daten er freigeben will. Der Betreiber der Site kann dann lediglich den Zugang verweigern, wenn wichtige Daten fehlen – in der Regel reichen die Stammdaten aus. Open ID wird unter anderem von Microsoft, Yahoo, Wikipedia und diversen Blogs unterstützt.
Vor- und Nachteile:
Ändern sich Daten, etwa durch einen Umzug, muss man sie nur einmal beim Provider anpassen, die Datenbank erledigt den Rest. Der Nachteil: Open ID und vergleichbare Dienste sind anfällig gegen Phishing. Wer den Master-Zugang kennt, kann theoretisch auf sämtliche Ressourcen zugreifen, für die sich der Nutzer angemeldet hat (Details gibt's hier). Wir können daher solche Sammelanmeldedienste unter Datenschutzgesichtspunkten nicht empfehlen. Lediglich bei Sites, die für Sie so unwichtig sind, dass Sie ein Standard-Kennwort verwenden würden, kann ein Service wie Open ID die lästige Erstanmeldung ersparen.


Identitätsklau und die Folgen


Ebay: 3, 2, 1 – Psychoterror
Eine weitere Variante des Identitätsdiebstahls kann sehr lästig werden und unter Umständen auch langwierige Folgen nach sich ziehen. Die Betrüger nutzen aus, dass der Anmeldemechanismus von Ebay nur begrenzt sicher ist: Beim Anlegen eines neuen Kontos führt Ebay eine Schufa-Abfrage durch. Sie soll nicht die Kreditwürdigkeit oder das Zahlungsverhalten des neuen Kunden dokumentieren, sondern lediglich seine Existenz. Deshalb reichen hier Adressdaten, die zum jeweiligen Namen passen – und die finden Betrüger an diversen Stellen: auf Websites, unter Mails oder einfach im Telefonbuch.
Kritisch wird es nach einigen Wochen für den eigentlichen Besitzer der Identität, der ja ganz einfach aufzufinden ist. So berichtet unser Leser Rudolf M., dass er regelmäßig erboste Anrufe von Ebay-Nutzern bekam, die vergeblich auf die vermeintlich von ihm verkaufte Ware warteten. „Dass ich denen gar nichts verkauft habe, wollten die natürlich nicht glauben“, so seine Aussage. „Am besten war ich dran, wenn sie mir mit der Polizei drohten. Dann konnte ich denen wenigstens das Aktenzeichen meiner Anzeige gegen Unbekannt nennen und sie bitten, darauf Bezug zu nehmen.“ Doch es kamen auch solche Drohungen: „Ich weiß, wo Du wohnst, und ich schick’ Dir wen vorbei.“ Knapp 40 Auktionen mit hochpreisigen Waren tätigten Betrüger in seinem Namen. Der entstandene Schaden lag bei mehreren tausend Euro.
Noch ein Geschädigter:
Die Bankverbindung, die der Betrüger in diesem Fall genutzt hatte, führte zu einem weiteren Opfer. Die arbeitslose Frau hatte über das Internet ein Angebot von einer „ausländischen Firma“ erhalten, die zum Geschäftsaufbau in Deutschland angeblich Mitarbeiter suchte. Stutzig machte es sie schon, dass ihre Aufgabe lediglich darin zu bestehen schien, Zahlungen, die auf ihrem Konto eintrafen, auf ein anderes ausländisches Konto umzuleiten. Doch die Entlohnung schien gut, und bis sie bemerkte, dass sie benutzt wurde, war es zu spät. Jetzt taucht ihr Name mit ihrer Kontonummer in verschiedenen Foren zum Thema Internet-Betrug auf – keine gute Voraussetzung, wenn man auf Stellensuche ist.
Keiner ist gefeit: Solche kriminellen Machenschaften können auch Menschen treffen, die nicht einmal einen PC besitzen – schließlich sind auch sie in der Schufa-Datenbank erfasst, und schließlich kann man auch ihre persönlichen Daten per Telefonbuch ermitteln.

Identitätsklau leicht gemacht


Name und E-Mailadresse: Mehr braucht man nicht
Wie viele Informationen lassen sich im Internet über eine Person herausfinden, von der man nur den Namen kennt? Wir machen die Probe aufs Exempel. Und wir raten Ihnen: Passen Sie genau auf, welche Spuren Sie im Web hinterlassen, denn sie sind deutlich lesbar – für jeden.
Seinen Namen nennen wir nicht. Es ist ein Leser, der uns eine Mail geschrieben hat. Wir kennen seinen Vor- und Nachnamen sowie seine Mailadresse – mehr nicht. Mit Hilfe von Google finden wir heraus, dass er eine eigene Homepage hat. Seine Anschrift lässt sich damit leicht über das Domain-Verzeichnis ermitteln. Anhand der Inhalte auf der ansonsten sehr knappen Homepage finden wir ein Forum, das er selbst zu einem Technik-Thema betreibt – hier stoßen wir auf seinen ersten Nickname. In einigen weiteren Foren zu dem Thema verweist er auf einen Artikel, den er unter einem weiteren, ähnlichen Nickname verfasst hat. Er ist sehr hilfsbereit, weiß viel zu Multimedia sowie Authoring und verlinkt auch schon mal auf Inhalte, für die er eine Abmahnung wegen Beihilfe zur Verletzung von Urheberrechten kassieren könnte.
eBay hilft (fast) immer:
Bei Ebay hat er wohl auch einmal etwas verkauft und ein Problem mit einem Käufer gehabt, wie wir über ein Rechtsforum ermitteln – immer noch alles mit so banalen Mitteln wie Google & Co. Wir finden einen Link zu einer Auktion, so dass wir jetzt seinen Ebay-Namen wissen. Auch die Ortsangabe stimmt. In einem anderen Forum erfahren wir, dass er als Freiberufler ein teures Grafikprogramm einsetzt (mit dem er anfangs Probleme hatte). Ob er das ordentlich im Laden gekauft hat, könnte den Hersteller oder die Konkurrenz interessieren.
Bei sozialen Netzwerken wie Linkedin oder Xing ist er offenbar ebenso wenig angemeldet wie bei Facebook. Andernfalls hätten wir gleich eine Fülle weiterer Informationen von beruflichem Werdegang über sozialen Hintergrund bis hin zu früher besuchten Schulen. Doch da ist noch ein Link zu Stayfriends, so dass wir sein ungefähres Alter und die besuchten Schulen ermitteln können.
Tipps für Einbrecher...
Ein Bild von ihm haben wir noch nicht, bis wir es mit den Nicknames bei Flickr versuchen. Nun wissen wir also auch, dass er im vergangenen Jahr Urlaub in den USA gemacht hat und im Jahr davor in Dubai war. Einen Link zu seinem Bilderblog finden wir auch noch. Dort steht als aktueller Eintrag, dass er bis in zwei Wochen in Urlaub ist und man folglich nichts Neues im Blog finden wird. Wenn wir jetzt Einbrecher wären …

Vorsicht bei beruflichen Daten


Indiskretion: Tag der offenen Datenbank
In Gefahr ist Ihre Online-Identität auch bei vermeintlich anonymen Websites, auf denen Sie Ihre persönlichen – teils sehr persönlichen – Daten hinterlassen. Beispiel Ebay: Das Online-Auktionshaus hatte Anfang September ein massives Sicherheitsproblem. Hacker konnten sich mindestens zwei Wochen lang über eine Programmierschnittstelle von Paypal Zugriff auf die Nutzerdaten von Ebay-Kunden verschaffen. Paypal ist der zu Ebay gehörende Zahlungsdienstleister. Der PC-WELT liegt ein Script vor, das die Bieter einer Auktion automatisiert auf Knopfdruck anschrieb und ihnen ein Angebot unterbreitete, die Ware zu erwerben – der Höchstbietende sei abgesprungen. In dem Fall, dessen Spuren nach Rumänien führen, ging es darum, Geld zu ergaunern, ohne Ware zu liefern. Da das Geschäft an Ebay vorbei erfolgte, werden die Geprellten leer ausgehen und nicht den Ebay-Käuferschutz in Anspruch nehmen können.
Auch wenn der Hintergrund der Tat eindeutig kriminell war, beweist der Fall noch etwas anderes: Wer einiges Know-how besitzt, kann herausfinden, wer wann auf welchen Artikel geboten hat – was auch der Unachtsamkeit des Unternehmens Ebay zu verdanken ist. Und wer will schon, dass jeder weiß, was man ersteigert hat.
Berufliche Daten:
Noch kritischer wird es, wenn es um berufliche Daten geht, etwa einen Lebenslauf, der anonymisiert zur Verfügung gestellt werden soll. So kopierten Unbekannte im August 2007 mit Hilfe eines Trojaners 1,3 Millionen Datensätze mit persönlichen Bewerberinformationen aus der Datenbank der Bewerbungs-Site Monster. Enthalten waren sämtliche Kontaktdaten wie Name, Adresse, Telefonnummer und Mailadresse – und sollten eigentlich nur in anonymisierter Form präsentiert werden. Zwar waren hier fast ausschließlich US-amerikanische Kunden betroffen. Ein solcher Vorfall wäre aber auch mit deutschen Anwendern nicht auszuschließen.

Staatlich finanzierte Prangerseiten


Internet-Pranger: Am Rande der Selbstjustiz
In Richtung Rufmord gehen Seiten, auf denen Personen öffentlich genannt und angeprangert werden – oft mit Fotos, vollem Namen und Adresse. So veröffentlichte ein Schweizer 2006 eine Site mit 36 Steckbriefen von Personen, die in einen Zusammenhang mit Kindesmissbrauch gebracht wurden. Jeder Eintrag war versehen mit einer Bewertung von 0 („Mitläufer“) bis 5 („Gehört verwahrt“). Die Site wurde inzwischen aus dem Netz genommen. Das ist ein einfaches Unterfangen, wenn es sich um einen inländischen Provider handelt. Langwieriger verhält es sich, wenn er wie hier im nichteuropäischen Ausland sitzt.
Psychoterror:
Dieser drastische Fall zeigt, welche Dimensionen der virtuelle Pranger durch selbsternannte Ordnungshüter annehmen kann. Meist läuft der Psychoterror im Netz, dem inzwischen auch Richter, Anwälte, Lehrer, Politiker und Journalisten ausgesetzt sind, auf einem etwas niedrigeren Level. Oft werden in Foren, Gästebüchern, Blogs oder auf speziell hierfür programmierten Websites private Geschichten öffentlich gemacht, Gerichtsakten, Schriftwechsel und andere Papiere eingescannt.
Wo hier die freie Meinungsäußerung endet und ein strafrechtlich relevanter Tatbestand beginnt, hängt natürlich vom Einzelfall ab. Einzelne Personen, die von Einzeltätern angegriffen werden, haben bessere Karten, sich zu wehren als Ärzte, Lehrer oder Professoren, deren Arbeit in entsprechenden Portalen wie Spickmich oder Meinprof bewertet wird. So urteilten zumindest das Kölner Landgericht im Fall der Lehrerbewertungs-Site Spickmich.de, Lehrer müssten sich öffentlicher Kritik stellen (AZ 28 O 333/07, Urteil vom 22. August 2007). Unangenehm für die Betroffenen ist es aber in jedem Fall, zumal keine Waffengleichheit herrscht. Die Lehrerverbände beispielsweise bemängelten, dass eine Bewertung stets anonym erfolge und der Betroffene keine Gelegenheit zu einer Stellungnahme bekomme. Dabei hält sich der Schaden für die Betroffenen noch in sehr engen Grenzen. Schreib- und Leserechte hat nur, wer sich anmeldet, und einige Sicherheitsmaßnahmen sollen dafür sorgen, dass es nicht zu verfälschten Ergebnissen kommt.
Die Lage in den USA:
Deutlich drastischer geht’s – im Rahmen des geltenden Rechts – in den USA zu. Hier herrschen völlig andere Vorstellungen von Daten- und Persönlichkeitsschutz als in Deutschland. Hier kommt beispielsweise schon jemand auf eine staatlich finanzierte Prangerseite, der eine Prostituierte besucht hat. In einigen Bundesstaaten können Bürger ganz offiziell sehen, welche ehemaligen Sexualstraftäter in ihrer Nähe wohnen. Im Vergleich dazu geradezu harmlos wirken Seiten wie Don’t date him, Girl, auf denen Frauen andere Frauen vor ihren Ex-Freunden warnen, die fremdgegangen sind.

Was Ihre Identität im Internet schützt


Security-Tool-Paket: Diese Software schützt
Wir haben 30 Sicherheits-Tools aus der Free- und Shareware-Programme sowie Testversionen von Software, die Ihr Leben im Netz sicherer machen und gegen Betrüger schützen kann.
Anonymisierung:
Mit Programmen wie JAP, Tor, Operator oder XB-Browser verschleiern Sie Ihre IP-Adresse. Die Tools leiten den Datenverkehr über ein komplexes Netzwerk, so dass im Nachhinein niemand nachvollziehen kann, von welchem Rechner oder welcher IP-Adresse eine Anfrage kam und welche Datenpakete wohin geliefert wurden. Jeder Surfer ist dabei Teil des Netzes und trägt dazu bei, die Anonymität zu steigern. Wir raten, ein solches Anonymisierungs-Tool immer dann einzusetzen, wenn Sie sicherstellen wollen, dass niemand nachvollziehen kann, was Sie im Internet getan haben.
Verschlüsselung:
Tools wie Archicrypt Pro, Truecrypt oder Steganos Safe verschlüsseln Dateien, Ordner und ganze Partitionen. Das ist sinnvoll, wenn Sie Angreifer aus dem Netz abwehren wollen, die sich an Ihren privaten Daten bedienen und Ihre Privatsphäre verletzen wollen. Besonders wichtig: Lassen Sie keine Passwörter oder andere vertrauliche Daten offen auf der Festplatte liegen.
Passwort-Archiv:
Wer immer dasselbe Kennwort verwendet, macht es Betrügern leicht. Jedem, der es kennt, steht die Tür zu allen Internet-Zugängen offen. Sicherheit versprechen Passwort-Tools wie Keepass, Alle meine Passworte oder Steganos Passwort-Manager. Diese legen Passwörter in einer verschlüsselten Datenbank ab – Sie brauchen sich nur noch ein Master-Passwort zu merken. Das dürfen Sie allerdings unter keinen Umständen vergessen, sonst stehen Sie selbst vor verschlossenen Konten und Zugängen.
Phishing:
Vorsichtig sein und den gesunden Menschenverstand einsetzen, das gehört zu den wichtigsten Maßnahmen. Schließlich sind viele Phishing-Mails schon aufgrund der fehlerhaften Sprache als solche zu erkennen. Außerdem hilfreich: die Tools aus unserem Paket. Eine Desktop-Firewall wie Zone Alarm signalisiert Ihnen, welche Dienste auf Ihren Rechner zugreifen. Anti-Phishing-Tools wie die Firefox-Erweiterungen Noscript und Phish Tank Site Checker leisten ebenfalls gute Dienste. Letzteres baut auf dem Dienst Phish Tank auf, der bekannte Phishing-Sites sammelt und bei der Umleitung auf eine solche Site Alarm schlägt.

Programme und Links

Alle meine Passworte (AmP) 2.61
Passwortverwaltung
http://www.wt-rate.com
gratis

Anoproxy 1.20
Web-Proxy-Tool
http://www.anoproxy.de
14,95 Euro

Archicrypt Pro 6.2.2
Archivverschlüsselung
http://www.archicrypt.com
24,95 Euro

Archicrypt Shredder 4.04
Datenlösch-Tool
http://www.archicrypt.com
24,95 Euro

Archicrypt Stealth 4.23.1
Anonym Surfen
http://www.archicrypt.com
24,95 Euro

Axcrypt 1.6.3
Verschlüsselungs-Tool
http://www.axantum.com/AxCrypt
gratis

BackProtection 7.4 SE
Zugriffsüberwachung
http://www.jmmgc.com
gratis

BFilter 1.11
Web-Proxy-Tool
http://bfilter.sourceforge.net
gratis

Copernic Agent 6.11
Such-Utility
http://www.copernic.com
gratis

Firefox 2.0.6
Gratis-Browser
http://www.mozilla-europe.org/de
gratis

Gernova Keylock 1.1
Keylogger-Aufspür-Tool
http://www.gernova.de
gratis

Gpg4win 1.12
Tool für Mailsicherheit
http://www.gpg4win.de
gratis

JAP 00.08.086
Anonym Surfen
http://anon.inf.tu-dresden.de
gratis

Keepass 1.0.8
Passwort-Tool open source
http://keepass.info
gratis

Noscript
Script-Blockierer
http://maone.net
gratis

Operator 2.3
Anonym-Version von Opera
http://letwist.net/operator
gratis

Phish Tank Site Checker
Anti-Phishing-Tool
http://phishtanksitechecker.com
gratis

Security & Privacy Complete 3.1.7
Privacy-Toolpaket
http://sourceforge.net/projects/cmia
gratis

Site Advisor
Hinweise auf unsichere Sites
http://www.siteadvisor.com
gratis

Spam Terrier 1.0
Anti-Spam-Tool
http://www.agnitum.com
gratis

Spamihilator 0.9.9.32
Anti-Spam-Tool
http://www.spamihilator.com
gratis

Starmoney Toolbar
Banking-Software-Toolbar
http://www.starmoney.de
gratis

Steganos Passwort-Manager
Passwortverwaltung
http://www.steganos.com
14,95 Euro

Steganos Safe 2008
Datentresor
http://www.steganos.com
39,95 Euro

Steganos Security Suite 2007
Privacy-Toolpaket
http://www.steganos.com
59,95 Euro

Tor 0.1.2.17
Anonym-Surf-Engine
http://tor.eff.org
gratis

Truecrypt 4.3a
Verschlüsselungs-Tool
http://www.truecrypt.org
gratis

Win Patrol 2007
Anzeige aller Tasks
http://www.winpatrol.com
gratis

XB-Browser 2.06
Torpark-Nachfolger
http://www.torrify.com
gratis

Xpy 0.9.11
Anti-Schnüffel-Tool
http://sourceforge.net/projects/xpy
gratis

Zone Alarm 7.5
Firewall
http://www.zonealarm.com
gratis

Zurück zum Anfang
 Sprung  
Xobor Ein Xobor Forum
Einfach ein eigenes Forum erstellen
Datenschutz