Bildschirmfoto-2015-04-01-um-08.09.53Vor kurzem machte im Internet ein sehr interessanterArtikel die Runde, in dem beschrieben wird, wie man im Internet sicher surft. Der Github-Benutzer actuno beschreibt in dieser Anleitung sehr detailliert, wie sich Internetbenutzer möglichst sicher durch das Netz bewegen können. Dabei wird sowohl auf reine Sicherheit als auch auf Eure Datensicherheit wert gelegt. Actuno richtet sich sowohl an erfahrene Benutzer, als auch an unerfahrene Anwender und hält das Dokument auf Github auch weiterhin aktuell, um auch neue Technologien einzubeziehen. Wir geben also jedem der unseren Artikel liest den Tipp, auch die Original-Anleitung hineinzuschauen.
Da die original Anleitung nur in Englisch auf Github zu finden ist, wollen wir Euch hier eine Übersetzung und unsere Gedanken zu den einzelnen Punkten zur Verfügung stellen. Da dies ein sehr langer Artikel wird, arbeiten wir mit einem Inhaltsverzeichnis. Wenn Ihr also in einigen Bereichen bereits erfahren seid, dann könnt Ihr gerne auch direkt zu anderen Punkten springen.

Bildschirmfoto 2015-10-22 um 10.20.19

 

Technologien und Ihr Effekt auf Eure Sicherheit

Hier werden einige gängige Technologien aus dem Netz erklärt und wie diese sich auf eure Sicherheit auswirken können.

HTTP: Nicht verschlüsseltes Surfen

HTTP ist noch das Standard-Protokoll, dass zum Ausliefern von Webseiten im Internet verwendet wird. Die meisten Browser verlangen von Euch nicht, eine ganze URL in die Adresszeile einzugeben. Es reicht eine Domain und der Browser ergänzt diese dann zu einer vollständigen URL. Aus ‘heise.de‘ macht euer Browser dann automatisch ‘https://heise.de‘. Vorne steht dann meistens das Protokoll HTTP.
Die Webseite wird dann unverschlüsselt aufgerufen. Das bedeutet, Euer ISP, der Betreiber eines WLAN aber auch praktisch jeder der zwischen Eurem Computer und dem Server der Webseite sitzt, kann den Inhalt der Webseite lesen. Im Falle von Heise Online klingt das erstmal nicht so schlimm, denn auf der Webseite befinden sich ja keine auf euch bezogene Daten und jeder kann Heise Online auch so lesen. Die Daten lassen sich aber nicht nur lesen sondern auch Manipulieren.
So können Angreifer die im den Datenverkehr abfangen, diese auch verändern und dann beim ausliefern des Nachrichtentextes auch noch eine kleine Überraschung zu Euch übertragen. Wie einfach das geht zeigt SemperVideo in seinem Video ‘MITM: Spaß mit Trafficmanipulationen’.

YouTube

By loading the video, you agree to YouTube's privacy policy.
Learn more

Load video


Das Zauberwort um diese Daten zu verschlüsseln lautet SSL oder im Browser HTTPS. Wenn Ihr eine Webseite mit HTTPS aufruft werden die Daten, also zum Beispiel der Nachrichteninhalt von Heise Online verschlüsselt versendet und ein Angreifer der diese Daten abgreift, wird nur kryptischen Buchstabensalat sehen. Der Salat lässt sich für den Angreifer dann nicht mehr manipulieren.

Cookies

Diese Kekse werden von Webseiten dazu genutzt um Euch wieder zu erkennen. Am bekanntesten ist hier wohl das Session-Cookie. Darin werden eindeutige Daten, wie zum Beispiel eine Session-ID gespeichert, anhand derer zum Beispiel Facebook Euch wieder erkennt und Euch den lästigen Login erspart. Einmal angemeldet kommt Ihr beim Aufruf von Facebook also immer direkt in Euer Profil zurück.
Diese Wiedererkennung wird dann zum Problem, wenn der Urheber eines solchen Cookies eine Webseite hat, deren Inhalt auf so gut wie jeder Webseite im Netz wieder zu finden ist. Zum Beispiel die Facebook-Teilen- oder Like-Funktion. Darüber stellt Ihr beim Besuch auf einer Webseite nämlich nicht nur eine Verbindung zu der von Euch gewünschten Webseite her, sondern auch zu Facebook. Und die Webseite die Ihr Besucht schickt Ihr hier auch gleich mit (Referer). Ein Unternehmen wie Facebook kann also durch das Cookie nicht nur eindeutig sagen wer Ihr seid sondern auch auf welchen Webseiten Ihr euch herumtreibt.
Auch die Werbeindustrie setzt diese Technik ein um euch immer wieder zu erkennen und vor allem auch um euch personalisierte Werbung auszuliefern.

JavaScript

JavaScript nicht Java, ist weit verbreitet und sorgt für dynamische Inhalte auf Webseiten und damit auch für viele der “fancy” Bildergalerien, Slider oder ganze E-Mail-Programme die wir im Browser nutzen können. Oft ist der JavaScript-Code auch nicht vom Seitenbetreiber selbst sondern wird nur von extern eingebunden. Ein bekanntes Beispiel dafür ist zum Beispiel die Einbindung von Google Maps auf vielen Webseiten. Aber mit der Hilfe von JavaScript wird auch Werbung ausgespielt und es ist für viele Browser-Exploits notwendig um zu funktionieren. Damit stellt JavaScript also ebenfalls eine Gefahr dar.

Flash

Hier schließen wir uns der Meinung von Atcuno an. Flash ist neben Java eine der unsichersten Software, die im Web gang und gäbe ist. Die Zahl der Sicherheitslücken die Flash in Eure Browser reißt, ist riesig. So sind Benutzer von Adobe Flash sehr beliebte Opfer von Cyberkriminellen.
Früher gebraucht um vor allem Videos und bewegte Element auf Webseiten zu bringen, wird Flash in Zeiten von weit entwickeltem JavaScript und HTML5 eigentlich nicht mehr benötigt. Dennoch ist es weiterhin noch sehr verbreitet.
Darüber hinaus bietet Flash noch die Funktion der ‘Flash Cookies’. Diese werden genau wie HTTP Cookies dazu verwendet, euch eindeutig zu identifizieren. Nur das ‘Flash Cookies’ beim löschen der Browser Cookies nicht mitgelöscht werden. Und wer jetzt glaubt, dass ein Wechsel des Browser hilft, irrt ebenfalls. Flash kann egal von welchem Browser aus, auf die gleichen Cookies zugreifen. So können Werbetreibende, die bei euch einen Cookie über den IE-Browser hinterlassen haben, auch über den Chrome-Browser identifizieren.

HTML5 Lokaler Speicher

Und schon wieder eine Technologie, die Daten auf eurem Rechner speichert, um euch eindeutig zu identifizieren.

WebRTC

WebRTC ist eine Technologie die Browser-zu-Browser-Interaktionen ermöglicht. Daten müssen damit nicht mehr von einem Browser an den Server gesendet werden, der die dann wieder an einen anderen Benutzer sendet. Hier werden direkte Verbindungen zwischen zwei Browsern hergestellt. Nützlich u.a. für Chat-Anwendungen oder auch File-Sharing.
Allerdings erlaubt die Technologie der Gegenstelle auch die Ermittlung der privaten IP-Adresse des Gesprächspartners. Wenn Ihr also denkt Ihr seit in Eurem VPN ganz anonym unterwegs, kann euch genau das einen Strich durch die Rechnung machen.
Ausführlicher Beitrag zu WebRTC>>
Ob euer aktueller Browser dafür anfällig ist, könnt Ihr auf dieser Webseite testen. Seht Ihr dort die lokale IP-Adresse eures Computers, dann seit Ihr auch im VPN transparent.

Browser Fingerprinting

Cookies von 3rd-Party Webseiten sind mittlerweile doch recht bekannte Risiken. Das gefällt der Werbeindustrie natürlich gar nicht. Um euch trotzdem weiter eindeutig zu erkennen, versuchen sie über Merkmale die Ihr ganz freiwillig herausgebt einen Datensatz zu sammeln an dem Sie euch wiedererkennen können. Die verschiedenen Techniken dazu hat Mozilla in ihrem Wiki dokumentiert.
Dabei wird geschaut, welche Plugins Ihr installiert habt, welche Sprachen Ihr akzeptiert, welche Schriftarten Ihr installiert habt, welchen Browser auf welchem Betriebssystem Ihr verwendet (User-Agent), welche Auflösung euer Bildschirm hat und vieles mehr. Alles zusammen ergibt dann einen sehr eindeutigen Datensatz an dem Ihr dann wieder zu identifizieren seid.
Einen Test, wie eindeutig Eure aktuelle Browser-Konfiguration ist, könnt Ihr auf der Webseite Panopticlick machen. Teilt uns gerne auch in den Kommentaren mit wie eindeutig euer Browser zu erkennen ist.

Die Wahl des richtigen Browser

Internet Explorer

Wenn Ihr keine wichtige Webseite verwendet die nur im Internet Explorer funktioniert, was in Firmennetzwerken leider mal der Fall sein kann, dann solltet Ihr den Internet Explorer gar nicht verwenden. Außer den Zahlreichen Sicherheitslücken ist der Internet Explorer auch nicht durch Plugins zu erweitern und damit für Euch auch nicht sicherer zu machen.

Safari

Hier gilt das gleiche wie für den Internet Explorer.

Firefox

Auch wenn Mozilla vor kurzem mit der Werbeindustrie angebandelt hat, ist der Browser durch eine Vielzahl an Plugins so erweiterbar, dass eine gute Sicherheit geboten werden kann.

Chrome

Google Chrome ist schon konzeptionell ein sicherer Browser wie es unter anderem das BSI beschrieben hat. Natürlich muss der Browser aber wie die anderen auch, vor der Benutzung entsprechend Konfiguriert werden. Vor allem aus Gründen des Datenschutzes. Darüber hinaus ist Google Chrome mit einer ähnlich großen Plugin-Datenbank ausgestattet durch denn sich der Browser leicht erweitern lässt. Weiter unten Beschreiben wir worauf Ihr achten müsst.

Das Tor Browser Bundle

Tor ist ein Netzwerk über dass Ihr anonym surfen könnt. Das Tor Browser Bundle (TBB) ist ein Browser der direkt über dieses Netzwerk kommuniziert. Natürlich könnt Ihr Tor auch einfach mit einem der anderen Browser verwenden, dass TBB ist aber eine bereits vorkonfigurierte Version mit besonderem Blick auf Sicherheit und Datenschutz. Eine Genaue Beschreibung dazu findet Ihr hier. Warum Ihr den Browser dennoch nicht überall verwenden solltet, beschreiben wir in der Strategie-Sektion.

Was bieten die Browser an Konfigurationsmöglichkeiten?

Hierzu empfehlen wir auch die Webseite BSI für Bürger, die einen Artikel zur sicheren Konfiguration von Browsern veröffentlicht hat.

Chrome

Google Chrome war nicht umsonst in der Kritik, gerade was die Daten, die er an Google sendet betrifft. Standardmäßig sendet Chrome eine Menge Daten an Google, wie zum Beispiel

  • die besuchten URLs,
  • verdächtige Dateien die Ihr herunterladet,
  • falsch geschriebene Wörter,
  • Suchbegriffe

und vieles mehr. Google hat dazu eine Hilfe-Seite bereitgestellt, auf der diese Funktionen, und auch wie man diese deaktiviert werden, erklärt werden.
Am Besten schaltet Ihr alle Features bis auf das senden des Do-Not-Track Headers komplett aus. Ihr findet die Einstellungen unter den Chrome-Einstellungen bei ‘Datenschutz’. Um die Sektion zu sehen müsst Ihr auf den Link ‘Erweiterte Einstellungen anzeigen‘ klicken.

Firefox

Den Vorwurf der Datenschleuder kann man aber nicht nur dem Google Chrome machen. Auch die anderen Browser sind hier nicht sparsamer. So auch der Mozilla Firefox. Die Entsprechenden Einstellungen werden von Mozilla in den Hilfeartikeln ‘Einstellungen zu Datenschutz und Sicherheit‘ und ‘Anpassen der Steuerung, Optionen und Add-Ons‘ erklärt.
Darüber hinaus empfiehlt Atcuno noch diesen Artikel über Sicherheit und Anonymität im Firefox. In diesem werden auch Plugins erwähnt, auf die wir im nächsten Abschnitt eingehen.

Diese Browserplugins solltet Ihr verwenden.

Die Standard-Einstellungen der Browser alleine reichen in der Regel nicht aus um Eure Sicherheit und Privatsphäre zu schützen. Deswegen gibt es für die ausgewählten Browser zusätzlich noch unsere Plugin-Empfehlungen, die Ihr installieren solltet.

Empfohlene Plugins für den Google Chrome

Eine Anleitung zum Installieren von Plugins im Google Chrome findet Ihr hier.

HTTPS Everywhere

Wie weiter oben erklärt, werden Daten die mit HTTP übertragen werden nicht verschlüsselt. Damit wäre für einen Angreifer der Inhalt der Seiten, die Ihr besucht einsehbar und manipulierbar. Viele Webseiten bieten aber mittlerweile auch die Möglichkeit den Inhalt verschlüsselt über HTTPS anzusehen. Dieses wird leider nicht immer automatisch aufgerufen.
Genau das macht das Plugin HTTPS Everywhere. Wenn Ihr das Plugin installiert habt und eine Webseite mit ‘https://botfrei.de/’ aufruft, macht HTTPS Everywhere daraus automatisch die eine Abfrage mit https also ‘https://botfrei.de’.
Das funktioniert natürlich nur, wenn die Webseite die Ihr aufruft auch https unterstützt. Tut sie das nicht, wird die Seite ganz normal über HTTP aufgerufen.

Privacy Badger

Der Privacy Badger löst das Problem der 3rd-Party Einbindungen auf Webseiten. Wie weiter oben Beschrieben ermöglicht das Einbinden von Anwendungen oder auch Werbung auf mehreren Webseiten, dass verfolgen eures Surfverhalten. Der Privacy Badger unterbindet genau dieses Verhalten.
Ausführlicher Beitrag “Ghostery vs Privacy Badger”>>

Ein Werbe-Blocker

Werbung ist ein ganz großes Thema, wenn es um Sicherheit und Datenschutz im Internet geht. Die Werbeindustrie verfolgt Euch nicht nur quer über alle Seiten, auf denen Ihre Werbung eingebunden ist, sie stellt auch ein Sicherheitsrisiko dar. Werbung wird auf Webseiten in den meisten Fällen von Servern der Werbefirmen direkt eingebunden. Manipuliert also jemand einen Werbebanner direkt auf dem Server der Werbefirma, dann wird diese Manipulation direkt auf vielen Webseiten ausgespielt. So kann man sich auch ganz schnell mal bei einem Besuch einer sonst seriösen Webseite wie chip.de einen Virus einfangen.
Die Werbeindustrie scheint dagegen immer noch nicht wirklich gut aufgestellt zu sein. Von daher ist ein Werbe-Blocker aktuell noch pflicht im Internet. Da das bekannteste Plugin der Ad-Block-Plus stark in Kritik geraten ist, empfehlen wir an dieser Stelle das Plugin uBlock Origin. Das Plugin muss nur richtig konfiguriert werden, wie es in dieser Anleitung beschrieben steht.
Wen die Problematik mit AdBlock-Plus interessiert, der kann das im Artikel ‘Werbung durch die Hintertür: AdBlock Plus bietet Anbietern von iOS-9-Werbeblockern Geld fürs Durchwinken von Anzeigen’ von t3n.de nachlesen.

Flash Kontrolle

Die einfachste Lösung für das Flash-Problem ist die Deinstallation von Flash. Eine Anleitung dazu liefert Adobe selbst auf Ihren Hilfe-Seiten.
Wenn Flash aber benötigt wird und eine Deinstallation damit nicht in Frage kommt, dann solltet Ihr zumindest eine Plugin zur Kontrolle des “Monsters” installieren. Dazu eignet sich das Plugin Flashcontrol hervorragend. Sobald das Plugin installiert ist, wird Flash nicht mehr automatisch im Browser ausgeführt. Jede Flash-Werbung, jedes Video muss von euch selbst per Klick zum Abspielen freigegeben werden. So wird auch nur Flash-Inhalt geladen, den Ihr wirklich sehen wollt.

WebRTC Blocker

WebRTC ist etwas anders. Da es direkt im Browser implementiert ist, kann man WebRTC auch nicht einfach deinstallieren. Leider hat Google es auch versäumt eine vernünftige Einstellung zugänglich zu machen um WebRTC zu deaktivieren. Deswegen bleibt euch hier nichts anderes übrig als ein Plugin, wie WebRTC Leak Prevent zu installieren.

Empfohlene Plugins für den Firefox

Eine Anleitung zum Installieren von Plugins im Mozilla Firefox findet Ihr hier.
Die Plugins

sind jeweils auch für den Firefox verfügbar. Ihr könnt hier also einfach die gleichen Plugins verwenden.

Flash Kontrolle

Das Plugin Flashblock bietet im Firefox die selbe Funktion wie Flashcontrol im Google Chrome.

WebRTC blockieren

Mozilla hat es besser gemacht als Google und bietet Euch auch die Möglichkeit WebRTC auszuschalten. Das macht Ihr wie folgt:

  • Gebt ‘about:config” in der Adresszeile ein und drückt Enter.
  • Sucht über die Suche auf der Seite den Text ‘media.peerconnection.enabled’.
  • Klickt einfach doppelt auf die Zeile in der der Wert steht, bis die Spalte Value auf ‘false’ steht.
Certificate Patrol

Hier kommt jetzt noch ein Firefox-Spezial. Und zwar das Plugin Certificate Patrol. Das Plugin überprüft Ablaufdaten und Veränderungen an SSL-Zertifikaten. Für den Google Chrome gibt es dieses Plugin leider nicht.
Ausführlicher Beitrag zu Certifikate Patrol>>

Schon mal versucht Javascript zu deaktivieren?

Wir schon. Damit werden einige Webseiten sogar nicht mehr nutzbar. Vor allem wenn man seine E-Mails in einem Webmailer abruft wird man unter der Abschaltung von Javascript leiden. Dennoch halten wir euch nicht davon ab einen Selbstversuch zu starten. Die entsprechenden Plugins sind:

Es gibt auch Suchmaschinen jenseits von Google.

Wenn man sich Gedanken um seine Privatsphäre macht, sollte man sich auch Gedanken darum machen, welche Suchmaschine man verwendet. Fragt man nach einer Suchmaschine, fällt wohl jedem als erstes Google ein. Danach kommen dann auch Suchmaschinen wie Bing, oder Yahoo.  All diese Suchmaschinen sammeln Daten von euch um Ihre Suchergebnisse zu verbessern und im Fall von Google, um euch personalisierte Werbung zu servieren. Durch einen Google Account sind diese Daten dann sogar auf Euch als Person zurückzuführen.
Es gibt aber mehr. Sowohl StartPage als auch DuckDuckGo speichern eure Suchanfragen nicht so, dass diese auf euch zurück zu verfolgen sind. StartPage nutzt in seiner Suche sogar die Suchergebnisse von Google mit, so dass Ihr von der Power von Google profitieren könnt, ohne Google zu verwenden.

Die richtige Strategie beim Surfen auf Webseiten.

Die meisten Internetnutzer, darunter auch technisch versierte, nutzen einen einzigen Browser um alle Webseiten zu besuchen. Warum dass ein Problem sein kann, wird in den nächsten Kapiteln erklärt.

Einmal Infiziert sind alle Daten in Gefahr.

Einen Browser für alle Webseiten zu benutzen bedeutet meistens auch, dass man gleichzeitig in einem Browser auf vielen Webseiten angemeldet ist. Tritt man in eine Pfütze, sind alle dieser Logins ins Gefahr und nicht nur einzelne.

XSS bzw. UXSS

XSS-Angriffe können grob gesagt den Browser eines Benutzers steuern. Dadurch kann ein Angreifer euren Browser dazu zwingen bestimmt Aktionen auf einer Angreifbaren Webseite durchzuführen. UXSS ist eine gesteigerte Form davon und erlaubt es sogar Aktionen auf Webseiten auszuführen, die nicht Angreifbar sind. Wenn Ihr also gleichzeitig normal surft und im Online-Banking angemeldet seid, dann können auch Aktionen im Bankkonto durchgeführt werden.

CSRF

CSRF ist ebenfalls eine Webseiten übergreifende Technik, mit der Angreifer Anfragen von eurem Browser absenden können.

Tracking

Im Beispiel von Google oder Facebook haben wir oben bereits erklärt wie diese auch alle Webseiten sehen können die Ihr besucht, solange sich darauf zum Beispiel der Facebook-Like Knopf befindet. Das funktioniert natürlich nur dann, wenn Ihr auch alle Webseiten mit einem Browser verwendet. Die Unternehmen können damit richtige Profile von Euch erstellen. Welche Bank nutzt Ihr, welchen Urlaub bucht Ihr, welche Interessen habt Ihr und vieles mehr. Die Trennung der Webseiten auf verschiedene Browser bringt hier effektiv mehr Datenschutz.

Verwendet mehrere Browser.

Das verwenden von mehreren Browsern senkt also nicht nur Euer Sicherheitsrisiko, sondern auch Eure Nachverfolgbarkeit durch Unternehmen wie Facebook oder Google. In der Konfiguration werden der Google Chrome, der Mozilla Firefox und das Tor Browser Bundle verwendet. Die Umsetzung ist nicht rein technisch, sondern auch organisatorisch. Die Browser sollten so Konfiguriert sein, wie weiter Oben bei den Einstellungen und Plugins besprochen. Verwendet den Firefox, dann für Webseiten mit Logins die auch Tracking verwenden wie Facebook oder YouTube. Den Google Chrome verwendet Ihr ausschließlich für sensible Logins wie euer Online-Banking oder euren Webmailer. Und das Tor Browser-Bundle ist für alle anderen Webseiten ohne Logins da.
Das Tor Browser Bundle ist besonders gut für generische Webseiten geeignet, weil durch den Einsatz der richtigen Konfiguration und Plugins eine hohes Maß an Anonymität gegeben ist. Der Browser verhindert so nicht nur JavaScript, Flash und Java und andere Plugins bei der Ausführung er ist auch ein gutes Mittel gegen Browser-Fingerprinting. Gleichzeitig wollt Ihr diesen Browser aber auch nicht für Webseiten mit Logins verwenden, weil die Endknoten des Tor-Netzwerkes unkontrolliert auch Böse sein können und diese können Euren Traffic dann leicht manipulieren.
Darüber hinaus wisst Ihr nie wo euer Endknoten liegt. Dieser kann praktisch bei jedem Aufruf aus einem anderen Land sein. Das kann für Webseitenbetreiber wie Facebook oder auch Eure Bank sehr merkwürdig aussehen, wenn Ihr Euch einmal aus Amerika anmeldet und beim nächsten Moment aus China. Viele dieser Firmen haben Sicherheitsmechanismen die genau solches Verhalten unterbinden. Damit sperrt Ihr Euch evtl. selbst von Eurem Online-Banking aus.

Wie macht man das?

Ja es ist manchmal schwer sich an diese selbst erlegten Regeln zu halten aber es gibt auch Möglichkeiten es für Euch einfacher zu machen. Plugins wie Block Site können dazu genutzt Webseiten, die man in einem Webbrowser nicht aufrufen will zu sperren oder noch besser die Webseiten die man verwenden will zu erlauben und alles andere zu sperren. Im Firefox gebt Ihr dann nur YouTube, Facebook und Twitter frei während im Chrome nur die Webseiten mit euren sensiblen Daten freigegeben sind. Im Tor Browser Bundle dagegen blockiert Ihr genau die Webseiten die Ihr in den anderen Browsern verwendet.
Schwer wird es vor allem dann, wenn Ihr aus einem E-Mail-Programm oder anderen Quellen zum Beispiel einem Skype-Chat einen Link aufrufen wollt. Euer Betriebssystem ruft dazu einen Standard-Browser auf. Damit Ihr immer bewusst entscheidet welchen Browser Ihr verwendet, könnt Ihr einfach den Standard-Browser auf ein Programm setzen, dass keine Webseiten anzeigt, zum Beispiel das Notepad. So seid Ihr gezwungen einen Browser gezielt zu wählen auch wenn Ihr dadurch ein wenig Komfort verliert, weil Ihr die entsprechenden Links immer selbst kopieren und im entsprechenden Browser einfügen müsst.
Mit dieser Konfiguration gewinnt Ihr stark an Sicherheit und Privatsphäre.

Virtualisierung

Wir haben uns dazu entschieden, den nächsten Schritt (Einsatz von Virtualisierung) in einem extra Artikeln zu verarbeiten weil wir denken, dass es hier mehr Erklärung bedarf als in diesem Artikel möglich ist. Wir halten diesen Artikel aktuell und ergänzen den Link sobald der Artikel fertig ist. Schaut euch dazu mal den Beitrag zur Bitbox von der Firma Sirrex an. Diese Virtualisierung eines Betriebssystem in Verbindung mit einem Browser ist einfach zu installieren und gibt euch die Sicherheit, sorgenfrei im Internet zu surfen!

Nutzen Sie VPN.

Über VPN könnt Ihr Euren gesamten Traffic über ein Netzwerk jagen, so dass weder Euer Provider noch ein Angreifer der im gleichen Netz liegt sehen kann, was genau Ihr da tut. Euer Datenverkehr wird dadurch in eine Schicht verpackt, den man nur innerhalb des VPN lesbar sehen kann. Das Thema VPN haben wir in einem Artikel über Steganos bereits behandelt.

VPN vs Tor

Bei dieser Diskussion geht es um die Entscheidung nach Gefühl. Tor Benutzer stehen in vielen Ländern, die den Internet-Verkehr genau im Auge haben, unter besonderer Beobachtung. Das liegt nicht nur an Tor sondern an dem generellen Fakt, dass jemand seinen Traffic anonymisieren möchte, betrifft also VPN-Benutzer ebenfalls.
Generell ist Tor die bessere Wahl, wenn es um die Privatsphäre geht, denn die VPN Betreiber können die gleichen Daten sammeln, die sonst euer ISP erhalten würde. Allerdings gibt es zu Tor auch einige Sicherheitsbedenken wie die bereits angesprochenen bösartigen Endknoten. Nach unserem Setup ist beides Sinnvoll, weil auch nur einer der Browser über das Tor Netzwerk kommuniziert und Ihr über ein VPN den gesamten Traffic jagen könnt.

Auch die falsche Wahl des DNS-Servers legt Daten offen.

Das DNS-System wird dazu genutzt um Domain-Namen wie botfrei.de in IP-Adressen 212.227.111.76 aufzulösen mit denen sich Euer Browser dann verbindet. Diese Anfragen gehen bei fast jedem Internet-Provider erstmal an diesen Provider selbst.
Auch wenn Euer Provider damit nicht genau sagen kann, welche Seite einer Domain Ihr genau besucht habt, aber er weiß dennoch genau, welche Domains Ihr besucht. Um auch diesem Problem aus dem Weg zu gehen gibt es mehrere Möglichkeiten.

    • Ihr könnt einen öffentlichen DNS-Server verwenden. Server die Eure Anfragen nicht Speichern findet Ihr in dieser Liste.
    • Ihr verwendet einen DNS der über ein VPN getunnelt wird. Das muss Euer VPN-Anbieter aber unterstützen.
    • Ihr verwendet ein System wie Tails, das die DNS Anfragen über das Tor Netzwerk jagt. Zu Tails gibt es mehr in unserem Virtualisierungsartikel.

Best Practice.

Benutzt einen Passwort Manager.

Um sich nicht so viele Passwörter merken zu müssen, kommt es immer wieder zu der Diskussion wie gute Passwörter aussehen sollten. Um zu vermeiden, dass ein Einbruch in ein System gleich mehrere Eurer Accounts offen sind, solltet Ihr für jeden Account ein eigenes Passwort vergeben. Das ist am einfachsten mit einem Passwortmanager wie KeePass. Der Vorteil liegt klar auf der Hand. Ihr müsst euch keine komplizierten Passwörter mehr ausdenken, denn der Passwortmanager macht das für euch. Und auch merken müsst Ihr euch diese nicht, denn das macht ebenfalls der Passwortmanager.

2 Faktor Autorisierung aktivieren.

Das sicherste Passwort nutzt nichts, wenn Ihr einen Trojaner auf dem Computer habt, der dieses einfach mit liest. Genau dafür gibt es die 2 Faktor Autorisierung. Damit benötigt Ihr zum Anmelden zusätzlich zu Eurem Passwort noch einen weiteren Faktor. Zum Beispiel einen Code der euch per SMS zugestellt wird. Dadurch hat ein Angreifer der Euer Passwort hat, erstmal keine Chance in Euren Account einzudringen. Eine Liste mit Diensten bei denen Ihr diese Autorisierung einstellen könnt findet Ihr hier.

Meldet euch nur auf den Seiten an, die Ihr gerade benutzt.

Wenn Ihr euch immer nur auf der Seite Anmeldet, die Ihr gerade benutzt umgeht Ihr die Gefahr, dass eine Schadsoftware auf einer Webseite Aktionen in einem Angemeldeten Account bei Beispielsweise Facebook, Twitter oder gar Eurer Bank ausführen kann. Der Abmelde-Knopf ist da und sollte auch genutzt werden.

Teste deine neue Konfiguration.

Jetzt ist es an der Zeit Eure Konfiguration auch zu testen. Dazu stehen Euch wieder Webseiten zur Verfügung. Die Webseite Browser Leaks könnt Ihr dafür nutzen, um zu schauen, welche Daten Euer Browser über Euch preis gibt. Geht die Tests einzeln durch. Die Webseite WITCH? nutzt Ihr mit Eurem Tor Browser Bundle, oder wenn Ihr in einem VPN angemeldet seid. Auch dort seht Ihr, welche Informationen über euch zu sehen sind.

Letze Worte.


Wir haben uns dazu entschieden, nicht den kompletten Artikel von Actuno zu übernehmen. Viele Einzelheiten waren einfach zu technisch. Der Artikel ist so schon sehr lang und sehr technisch. Wichtige Dinge wie Virtualisierung werden wir noch in einem extra Artikel verarbeiten. So hat Actuno auch uns noch Ideen gegeben, was wir für Euch noch beschreiben können um Euch eine sichere Nutzung des Internets nahe zu bringen.