Zum Inhalt springen

Informationstechnische Grundlagen (ITG)/ Systempflege und Sicherheit

Aus Wikibooks

In diesem Abschnitt wollen wir uns mit Betrieb und Wartung eines Rechners auseinandersetzen. Dazu gehört das Einrichten und Löschen von Benutzern und die (De-) Installation von Software und Software-Aktualisierungen. In diesem Zusammenhang gehen wir auch auf die Wahl und Verwendung von Passwörtern und Schadsoftware wie Viren und Trojaner ein.

Arten von Benutzerkonten

[Bearbeiten]
Auszug aus der Prozessliste eines Rechners: Nach Möglichkeit sollten Prozessen nie mehr Rechte, als die zur Abarbeitung ihrer Aufgabe erforderlichen, zugestanden werden. Anwenderprogramme (wie hier z.B. Firefox) sollten mit den Rechten des Anwenders (hier „albert“), keinesfalls rechtlich unbeschränkt als Administrator (hier „root“), ausgeführt werden.

Grundsätzlich unterscheidet man zwei Arten von Benutzerkonten:

  • Administrator-Konto („root“-Account): Diese Konten verfügen über keinerlei Beschränkung auf dem Rechner. Ein Administrator kann alle Dateien lesen, schreiben, löschen, Programme ausführen und verändern, Daten beliebig im Netzwerk verschicken und Geräte (Drucker, Mikrofon, Lausprecher, …) ansteuern.
  • Eingeschränkte Konten: Der Benutzer eines eingeschränkten Kontos kann am System selbst nichts (oder nichts wesentliches) verändern. Auch auf die Daten der anderen Benutzer hat er nur bedingt und eingeschränkt Zugriff. Man sollte jedem Benutzer des Rechners immer sein eigenes Konto mit limitierten Benutzerrechten einrichten. Dadurch stellt man sicher, dass sich die verschiedene Benutzer möglichst wenig gegenseitig stören.

Jeder Prozess d.h. jeder Vorgang, der auf einem Rechner abläuft, läuft mit gewissen Rechten. Startet ein Administrator ein Programm, so läuft der Prozess dieses Programms mit allen Rechten des Administrators. Da der Administrator alle Rechte ohne Einschränkung besitzt, unterliegt auch das Programm (bzw. sein Prozess) keinen Einschränkungen. Im Ernstfall kann das Programm das System zerstören oder auch unbemerkt unterwandern und im Hintergrund vom Betreiber nicht gewünschte kriminelle Tätigkeiten wie Spionage, Angriffe auf andere Rechner, Spamversand, etc. ausführen. Dies ist einem beschränkten Prozess nur nach Rechteausweitung durch Ausnützen von Sicherheitslücken möglich.

Aus diesen Gründen sollte man nach Möglichkeit auf einem Rechner möglichst wenige Prozesse mit uneingeschränkten Rechten laufen lassen und sich nur bei Bedarf als Administrator anmelden. Alle Tätigkeiten, die keine Veränderung des Betriebssystems mit sich bringen (also Anwenderprogramme), sollte man immer als normaler, eingeschränkter Benutzer ausführen.

Merke: Für die alltägliche Arbeit am Rechner nie als „Administrator“ („root“) anmelden, stattdessen ein eingeschränktes Benutzerkonto verwenden. Für Aufgaben der Systemadministration, die weitergehende Rechte erfordern, wechselt man dann bei Bedarf auf ein Administrator-Konto. (Bei unixartigen Systemen z.B. mit sudo.)

Die Verbreitung von Schadsoftware (Malware) wurde von Microsoft lange Zeit erleichtert, indem die Anmeldung als „Administrator“ bei seinen Betriebssystemen nicht zur Ausnahme gemacht wurde und manche Anwenderprogramme dazu noch ohne zwingenden Grund nur als „Administrator“ funktionierten. So konnte eingefangene Schadsoftware auf dem System ohne Einschränkung beliebig schalten und walten.

Software-Quellen und -Installation

[Bearbeiten]

Die auf einem Rechner – sei es ein Desktop, Laptop, Notebook, Router, NAS oder ein Smartphone – installierte Software bestimmt, welche Aufgaben der Rechner bearbeitet. Anders als man vielleicht annehmen könnte, arbeitet Software keinesfalls immer im Sinne des Anwenders. Vielmehr stellt man fest, dass auch verbreitete Software zumindest teilweise Ziele verfolgt, die wohl nur in den seltensten Fällen im Sinne des Anwenders sind. Diese sind selten offensichtlich und werden dem Benutzer oft als (vermeintlicher) Bequemlichkeitsgewinn oder besonderer „Service“ verkauft. Der Nutzer sollte sich in einem solchen Fall zu helfen wissen oder schon gar nicht in die Situation geraten, in der er nicht mehr als „Herr der Maschine“ angesehen werden kann.

Auswahl vertrauenswürdiger Software

[Bearbeiten]

Wer seine Rechner sicherheitsbewusst betreiben möchte muss sich überlegen, welche Software er aus welchen Quellen auf seinem Rechner schalten und walten lässt.

Auch wenn bei weit verbreiteten Betriebssystemen nicht unüblich, tragen wild aus dem Internet von dubiosen Seiten heruntergeladene Software, mehr oder weniger illegale Kopien und „gecrackte“ Versionen von befreundeten „Experten“ sicher nicht zur Sicherheit des Computersystems bei. Man braucht sich nicht zu wundern, wenn sich diese unbeschwerte und/oder äußerst pragmatische Herangehensweise irgendwann, in welcher Form auch immer, rächt.

Es ist allerdings auch ein Trugschluss zu glauben, die Bezahlung für Software müsse sich zwangsläufig in der Vertrauenswürdigkeit und Qualität eines Produkts niederschlagen. Vielmehr hat der Anbieter ein Interesse daran, auch sämtliche Folgeversionen und/oder Erweiterungen für gutes Geld ebenfalls zu verkaufen. Und auch renomierte Konzerne können gegebenenfalls gesetzlich dazu verpflichtet sein, bewusst eine Hintertür (Backdoor) in ihre Softwareprodukte einzubauen. Sie sind dann ebenfalls per Gesetz verpflichtet, die Existenz dieses Backdoors abzustreiten.

Letzten Endes muss jeder Benutzer selbst entscheiden, wem er seinen Rechner (mitsamt aller persönlicher Daten, auch dritter Personen) anvertraut. Im Folgenden sollen einige sicherheitsrelevante Kriterien zur Beurteilung von Software erläutert werden.

Sicherheitsrelevante Kriterien zur Auswahl von Software

[Bearbeiten]

Kriterien, die für die Vertrauenswürdigkeit von Software sprechen:

  • Öffentlicher Zugriff auf den Quellcode des Programms („Open Source“).
  • Das Projekt (samt Quelltext) hat eine „Geschichte“, aus der die Entwicklung hervorgeht.
  • Möglichst viele unterschiedliche und unabhängige Entwickler sind involviert.
  • Die Entwickler bürgen mit ihrem Namen für die Software.
  • Mechanismen, die sicherstellen, dass das installierte Binärprogramm mit dem einsehbaren Quellcode übereinstimmt.

Ohne Zugriff auf den Quellcode eines Programms ist es sehr aufwändig oder sogar unmöglich, seine tatsächliche Funktionalität zu ermitteln. Damit ist der Anwender von proprietären „Closed Source“ Programmen voll von der Rechtschaffenheit und Integrität des Anbieters/Herstellers und aller sonst in der Herstellung des Programms involvierten Instanzen abhängig. Dabei bedenke man, dass Programmierer meist durch Geheimhaltungsverträge zu Verschwiegenheit verpflichtet sind und Unternehmen oft per Gesetze mit Geheimdiensten zusammenarbeiten müssen, dies dann aber nicht zugeben dürfen.

Installation von Software

[Bearbeiten]
Paketverwaltung mit Synaptic

Die Installation von Software hängt stark vom Betriebssystem ab. Wir betrachten an Beispielen Vor- und Nachteile der verschiedenen Verfahren.

GNU/Linux Distributionen

[Bearbeiten]

GNU/Linux Distributionen verfügen üblicherweise über eine Paketverwaltung. Dabei wird ein Großteil der für das System verfügbaren Software in Form von „Paketen“ bereitgestellt und verwaltet. Diese Pakete werden von der Distribution gepflegt (d.h. auch noch einmal in gewissem Rahmen geprüft) und über verschiedene Quellen im Internet bereitgestellt. Kryptografische Verfahren (Prüfsummen, digitale Signaturen) sichern die Integrität („Echtheit“) der Software beim (automatischen) Download. Die Distribution sorgt für ein gutes Zusammenspiel der Pakete und grafische Paketverwaltungsprogramme erlauben das Suchen, Installieren und Löschen von Software.

MS-Windows

[Bearbeiten]

Hier gibt es keine zentrale Paketverwaltung. Nachdem man sich das zu installierende Programm organisiert hat, installiert man meist durch Ausführen des Installationsprogramms. Eine Vorabprüfung des Programms durch den Betriebssystemhersteller besteht nicht, darum ist eine eigene Prüfung umso wichtiger. Lädt man Software aus dem WWW herunter ist eine verschlüsselte Verbindung (https://) zu bevorzugen und nach Möglichkeit sollte die Integrität des Downloads manuell überprüft werden. Empfehlenswerte Downloadseiten sind entweder die originale Projektseite des Anbieters (z.B. https://www.mozilla.org für Firefox oder https://www.libreoffice.org für LibreOffice) oder renomierte Download-Seiten wie z.B. die des Heise-Verlags unter http://heise.de/download.

Apple OS X

[Bearbeiten]

Weitere Betriebssysteme

[Bearbeiten]
F-Droid, eine Softwarequelle für Android Systeme, die ausschließlich Freie Software bereitstellt.

Viele Betriebssysteme von mobilen Geräten (Smartphones, Tablets, …) bieten heute sogenannte „App Stores“, über die Software verwaltet werden kann. Es handelt sich dabei um das unter GNU/Linux schon lange bekannte Konzept der Softwarepaketverwaltung mittels Paketquellen im Internet. Je nach Anbieter sind die unter einer Quelle erhältlichen Pakete mehr oder weniger gut geprüft. Eine unter Android empfehlenswerte Paketquelle ist F-Droid, dort werden ausschließlich Applikationen angeboten, die unter einer Freien Software Lizenz stehen.

Aufgaben

[Bearbeiten]
Softwareinstallation
  1. Suche die Projektseite folgender Softwareprojekte und anschließend den Downloadbereich auf:
  2. Vergleiche die zum Download angebotene Programmversionen und -Typen mit den entsprechenden Downloadangeboten unter http://heise.de/download. Handelt es sich um identische Downloads, und wenn nicht: Worin bestehen Unterschiede?
  3. Was ist eine „Portable“-Version? Untersuche dazu PortableApps und http://portableapps.com/de/. Gibt es für die oben aufgeführten Programmme „portable“ Versionen?
  4. Finde heraus, wie du überprüfen kannst, ob eine heruntergeladene Datei wirklich dem Original auf einer Webseite entspricht. (Stichworte: Prüfsumme, Signatur).
  5. Beurteile die Vertrauenswürdigkeit einer Software deiner Wahl nach den oben aufgeführten Kriterien.

Software-Aktualisierungen

[Bearbeiten]

Jede Software weist Fehler auf. Diese beeinträchtigen zu einem Teil die Funktion des betroffenen Programms für den Anwender, zu einem anderen Teil erlauben sie die bestehende Sicherheitsarchitektur (Berechtigungen etc.) eines Computersystems mehr oder weniger auszuhebeln und gegebenenfalls Schadcode auszuführen.

Aus diesen Gründen sollte man immer aktuelle, d.h. vom Herausgeber „gepflegte“ Versionen einer Software verwenden. Man beachte, dass viele Projekte mehrere Versionen pflegen bzw. herausgeben, beispielsweise eine „brandneue“, sich schnell weiterentwickelnde Version mit den neuesten „Features“ (und den neuesten Fehlern) sowie eine oftmals als „stabil“ (stable) bezeichnete Version, die nur mehr Fehlerbereinigungen erhält. Der Anwender kann in diesem Fall wählen, ob er tatsächlich die neuesten Entwicklungen benötigt oder besser die nicht mehr weiterentwickelte aber fehlerbereinigte Version verwendet.

Insbesondere Systemprogramme des Betriebssystems sollten stets aktuell gehalten werden. Betriebssysteme bieten dazu meist Automatismen an, die auf bereitstehende Aktualisierungen hinweisen und erlauben diese „Updates“ einzuspielen. Zumindest bei Sicherheitsaktualisierungen sollte man dies umgehend tun.

Passwörter

[Bearbeiten]

Passwörter finden in der Informationstechnologie Anwendung zur Authentifizierung bei der Anmeldung, z.B. am Rechner oder auch bei Internetdiensten wie z.B. Sozialen Netzwerken, Online-Shops und Online-Banking. Grundsätzlich wächst die Sicherheit eines Passworts mit der Anzahl der Stellen und der Anzahl der verwendeten Zeichen (vergl. Zahlenschloss). Ein gutes Passwort[1] sollte also:

  • eine ausreichende Länge aufweisen (z.Zt. je nach Anwendung mindestens ca. 8 oder sogar 12 Zeichen),
  • Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten,
  • nirgends aufgeschrieben werden.

Ausserdem darf die Zeichenfolge keine Systematik („Passwort“, „12345“, „asdfg“) aufweisen, sondern sollte vollkommen zufällig sein. Für jedes System und jeden Dienst (jedes Online-Portal) ist ein anderes Passwort zu verwenden, damit ein in falsche Hände geratenes Passwort nicht gleich mehrere Accounts offenlegt.

Kaum jemand kann sich zahllose Passwörter, die obige Kriterien erfüllen, dauerhaft merken. Im Alltag kommt man also nicht darum herum, das Verhältnis des erforderlichen Aufwands für Sicherheit mit den Folgen der Unsicherheit abzuwägen, also welche Folgen ein „geknackter“ Zugang haben kann und wieviel Aufwand eine bessere Absicherung mit sich bringt. Auch bringt das sicherste Passwort nichts, wenn auf anderem Wege sehr einfach Zugriffssperren umgangen werden können. Je nach Art der Anwendung kann man dann an der ein- oder anderen Stelle Kompromisse eingehen. Dazu im Folgenden zwei Beispiele.

Beispiel Online-Dienste: Online-Dienste werden üblicherweise auch online von Crackern angegriffen, d.h. hier ist ein gutes Passwort erforderlich. Allerdings machen diese Cracker selten auf den Weg und durchsuchen Wohnungen gezielt nach aufgeschriebenen Passwörtern. Daher gilt die Empfehlung: Für Online-Dienste immer verschiedene und gute Passwörter verwenden, diese aufschreiben und an einem privaten Ort verwahren. Oder, wie im folgenden Abschnitt erläutert, einen Passwort-Manager verwenden.

Beispiel eigener Rechner zuhause: Es macht in den meisten Fällen wenig Sinn, den eigenen Rechner zuhause durch ein gutes aber auch sehr komplexes Passwort abzusichern: Sind die Daten nicht verschlüsselt gespeichert, kann jeder mit Zugriff auf die Hardware mit geringem Aufwand auch auf die Daten zugreifen – das Passwort ist dazu nicht erforderlich.

Passwort-Manager

[Bearbeiten]
KeePassXC Screenshot

Passwort-Manager helfen beim Verwalten von Passwörtern. Statt sich viele (und damit oft schlechte oder sogar identische) Passwörter für verschiedene Online-Dienste zu merken, werden die Passwörter mit einem Master-Passwort verschlüsselt auf dem Rechner gespeichert. Bei Bedarf kann nach Eingabe des Master-Passworts auf die gespeicherten Passwörter zugegriffen werden. Das Master-Passwort wird nur auf dem lokalen Rechner verwendet, es geht nie über das Netzwerk und wird auf keinem entfernten Server verarbeitet.

Für Web-Portale empfiehlt sich der in Firefox integrierte Passwort/Login-Manager, versehen mit einem guten Master-Passwort. Damit kann man problemlos jeweils verschiedene und beliebig komplexe Passwörter verwenden, ohne sich diese jemals merken zu müssen.

Aufgaben

[Bearbeiten]
  1. Warum sollte man seine Passwörter niemandem weiter sagen?
  2. Mit welchen Methoden kann man gute Passwörter generieren und sie sich gleichzeitig gut merken?
  3. Welche Unzulänglichkeiten haben folgende Passwörter: „qwe123“, „JHGBB2014“, „314159265“, „TopSecret“.
  4. Manchmal kann es bei der Verwendung von Umlauten (ÄäÖöÜü) und weiteren Sonderzeichen wie „ß“ und „ “ (Leerzeichen) in Passwörtern zu Problemen kommen. Warum?
  5. Probiere den in Firefox integrierten Passwort/Login-Manager, versehen mit einem guten Master-Passwort, aus.
  6. Teste eine KeePass-Implementierung[2].

Schadsoftware: Viren, Würmer, Trojaner, …

[Bearbeiten]

Unter dem Begriff Schadsoftware fasst man u.a. die Begriffe Computervirus, Computerwurm, Ad- und Spyware zusammen.

Vorbeugung einer Infektion

[Bearbeiten]

Wir wollen hier nur einige Grundregeln und Verhaltensweisen anführen, die die Gefahr, seinen Rechner mit Schadsoftware zu infizieren, reduzieren. Umfangreichere Informationen finden sich an diversen Stellen im Internet[3][4][5].

  • Nur vom Hersteller/Herausgeber gepflegte und vertrauenswürdige Software verwenden, Aktualisierungen einspielen.
  • Keine unbekannten Dateien oder Programme aus unsicherer Quelle öffnen bzw. ausführen. Dazu das automatische Öffnen/Ausführen von Dateien/Programmen aus dem Internet/Emails ausschalten.
  • Browser richtig konfigurieren, mit Bedacht „surfen“.
  • Email-Programm so konfigurieren, dass kein HTML interpretiert wird (nur Text).
  • Gegen bekannte Viren Antivirenprogramm verwenden.

Maßnahmen bei einer Infektion

[Bearbeiten]

Wenn man sich Schadsoftware auf einen Rechner eingefangen hat, empfiehlt sich folgendes Vorgehen:

  • Nach Möglichkeit das System vom Internet trennen, bestenfalls nicht mehr direkt in Betrieb nehmen. Stattdessen von einem bootfähigen Medium (CD, USB-Stick) ein Rettungssystem[6] (gegebenenfalls mit Virenscanner) starten.
  • Das System keinesfalls weiter für sicherheitskritische Anwendungen wie z.B. Online-Banking verwenden!
  • Mitbenutzer und gegebenenfalls weitere Betroffene warnen.
  • Verlässliche Informationen über die Infektion und ihr Entfernen einholen.
  • System und alle evtl. ebenfalls befallenen Wechselmedien und Geräte (USB-Sticks, …) von der Infektion reinigen. (Man bedenke, dass je nach Infektion eine Reinigung nicht möglich oder nur von einem anderen System aus erfolgen kann.)

Aufgaben

[Bearbeiten]
  1. Finde genaueres über Viren, Würmer, Ad- und Spyware heraus.
  2. Warum soll man ein befallenes System vom Internet trennen und keinesfalls weiter für sicherheitskritische Anwendungen verwenden?

Weiterführende Informationen

[Bearbeiten]
  1. Siehe auch Passwort-Empfehlungen bei BSI und Klicksafe.
  2. Passwort-Manager Beispiele: KeePass, KeePassXC, KeePassDroid und: pass: the standard unix password manager}.
  3. Heise Security
  4. Bundesamt für Sicherheit in der Informationstechnik
  5. Wikipedia: Prävention Computervirus
  6. Rettungssystem: Desinfec’t