Viren, Würmer, Spam: Aktuelle Sicherheits-Tips

Aus (immer noch) aktuellem Anlaß möchten wir auf häufig wiederkehrende Probleme hinsichtlich Viren, Mail-Würmer und Email-SPAM eingehen. Wir haben den Eindruck, daß in der letzten Zeit vermehrt ein Bild von der Nutzung des Internet entstanden ist, die eine gewisse "Gefahr" mit sich bringt und vor der man sich schlimmstenfalls nur durch eine totale 'Abstinenz' schützen kann. Diese Unsicherheit wird durch das mehr oder weniger sachliche Informationsangebot zu diesen Themen scheinbar noch verstärkt. Der typische Lebensmitteldiscounter- und Flächenmarkt-Kunde, der seine diesbezüglichen. Fragen allenfalls im Bekanntenkreis loswerden kann, ist vom dem ganzen 'Fachchinesisch' schnell überfordert und erhält darüber hinaus teilweise die widersprüchlichsten Informationen.

Wir haben uns deshalb bemüht, die größten 'Problemzonen' in vier Bereiche zu gliedern und die aus unserer Sicht besten Lösungen für Einzelplatz-PCs kurz vorzustellen.

1. Viren und Würmer
Computerviren "feierten" vor kurzem 20jähriges Bestehen und sind schon seit einigen Jahren aus dem Computeralltag - wohl oder übel - nicht mehr wegzudenken. Daher ist ein Virenscanner heutzutage für den aktiven Internetnutzer beinahe obligatorisch, auch wenn derjenige, der nicht ständig aus dubiosen Quellen Software lädt oder häufig ausführbare Programme per Mail zugesandt bekommt, nicht notwendigerweise permanent einen Virenscanner im Hintergrund laufen lassen muß. Dennoch sollte man bei Bedarf Zugriff auf ein aktuelles Antivirenprogramm besitzen.
Eines der bekanntesten Antivirenprogramme ist sicherlich "Norton Antivirus". Dieses zeichnete sich in der Vergangenheit zwar durch eine zuverlässige automatische Aktualisierung aus, die bei anderen Programmen leider nicht immer funktionierte. Allerdings ist diese Software mittlerweile so 'umfangreich' und klinkt sich so tief in das System ein, daß vor allem etwas ältere Rechner spürbar verlangsamt werden. Auch die Reaktionszeiten bei wichtigen neuen Schädlingen waren in der jüngsten Vergangenheit bei fast allen Mitbewerbern deutlich kürzer. Aufgrund schon lange währender Unzufriedenheit mit Symantecs Antiviren-Software und unseren jüngsten schlechten Erfahrungen mit dem Support möchten wir anstelle von Norton zu anderen Antiviren-Lösungen raten. Für den umsichtigen Privatnutzer sollte in der Regel eines der beiden kostenlosen Programme bereits genügen.

Als ressourcenschonender als die aufgeblähte Symantec-Suite erwies sich in unseren Tests PC Cilin von Trend Micro, das auch bei aktivem Echtzeit-Scan den PC nicht so spürbar verlangsamt wie die meisten anderen Produkte. Eine 30-Tage-Testversion ist als Download auf der Herstellerseite verfügbar, leider ist es jedoch nur noch als Bestandteil der Suite "Internet Security" (Virenscanner, Firewall, Spam-Tool etc.) erhältlich. Allerdings leistete sich auch diese Suite in älteren Versionen den einen oder anderen Patzer in ernstzunehmenden Tests. Die perfekte Antiviren-Software mit einem 100%-Schutz wird es indes ohnehin niemals geben.

Mit die beste Erkennungsleistung bei gleichzeitig guter Bedienbarkeit und akzeptabler Geschwindigkeit bietet derzeit wohl F-Secure, das die leistungsfähige Suchengine des russischen Spezialisten Kaspersky nutzt. Eine kostenlose Testversion ist nach einmaliger Registrierung erhältlich.

Empfehlenswert ist daneben noch die Software des ungarischen Herstellers bitdefender, der recht umfassende Informationen zu den aktuell verbreitetsten Viren liefert. Auch dessen Software gibt es in einer "Light"-Version für private Anwender zum kostenlosen Gebrauch. Die kostenlose Variante scannt allerdings nicht in Echtzeit im Hintergrund, sondern jeweils nur auf Anforderung in ausgewählten Laufwerken bzw. Verzeichnissen. Als "zweite Meinung" oder auch zum Desinfizieren von nachweislich befallenen Systemen ist es durchaus nützlich.

Kostenlos für private Anwender ist die durchaus leistungsfähige (Windows-)Software Antivir Personal Edition des deutschen Herstellers Avira (ehemals H+BEDV). Nach unserer Erfahrung ist diese Software zuletzt stark verbessert worden und dürfte für viele Heimanwender bereits ausreichend sein.
Wer kein Problem mit englischsprachiger Software hat, kann sich alternativ das für privaten Gebrauch kostenlose AVG Free Edition anschauen. Gegenüber Antivir hat es einen etwas größeren Funktionsumfang (z.B. Email-Scan) und bietet intelligentere Updates. Privat setzen sämtliche Mitarbeiter bei Data Division inzwischen zur vollen Zufriedenheit auf AVG. AVG ist eines der wenigen Antiviren-Programme, die auch im abgesicherten Modus von Windows funktionieren.
Ein weiteres brauchbares (und für Privatanwender kostenloses) Programm ist avast! Antivirus. Hierfür muß man sich lediglich per Email registrieren und kann das Programm für ein Jahr lang nutzen. Ohne Registrierung läßt sich das Programm 90 Tage nutzen. avast! bietet z.T. mehrere Updates täglich und scannt ebenfalls den E-Mail-Verkehr und sogar Messaging- und P2P-Programme. Auch avast! verhält sich verglichen mit dem Funktionsumfang noch recht ressourcenschonend und ist auf Wunsch auch in Deutsch erhältlich.

Ein sog. 'Removal-Tool' für die jeweils aktuell gefährlichsten/verbreitetsten Viren und Würmer ist McAfees kostenloses Programm Stinger, das die gut 50 häufigsten Viren/Würmer inkl. deren Varianten erkennt und entfernt.
Ungleich mächtiger ist das Tool "Sysclean" des Antivirenherstellers TrendMicro. Neben dem 2,5MB großen Archiv mit dem Removal-Programm benötigt man die aktuellen Virendefinitionen, die auch für die Vollprodukte verwendet werden. Damit ist die Bandbreite an erkennbarer Schädlingssoftware äußerst hoch.

Eine Sonderstellung nahmen in der Vergangenheit Trojanische Pferde bzw. sogenannte "Backdoor"-Programme ein, deren Ziel es zumeist ist, geheime Daten wie Paßwörter auszuspähen oder den Rechner "fernzuwarten", wie etwa das bekannte Back Orifice.
Obwohl nicht ganz korrekt, hat es sich im laufe der Zeit eingebürgert, diese kurz als "Trojaner" zu bezeichnen. Inzwischen sind die verschiedenen Schädlingsarten aber immer mehr miteinander verschmolzen, so daß eine klare Abgrenzung oft schwer fällt. So besaßen die letzten verbreiteten Würmer neben der eigentlichen Verbreitungsroutine auch alle eine "Hintertür", über die entweder weitere Spionageprogramme (Keylogger etc.) eingeschleust werden oder die Rechner schlicht ferngesteuert werden konnten, z.B. für DDOS-Attacken oder Spam-Versand.
Für die Gattung der sog. Trojaner gibt es spezialisierte Software wie z.B. The Cleaner oder Trojan Hunter. Beide Programme lassen sich kostenlos ausprobieren.

2. Mal- und Adware, Dialer
Eine andere potentielle Gefahrenquelle sind sog. Dialer, die durch - teilweise unbemerkte - Einwahl zu teuren 'Servicenummern' schon bei einmaliger Einwahl hohe Telefonkosten verursachen können. Um sich dauerhaft gegen Dialer zu schützen, empfiehlt sich eine Überwachungssoftware wie YAW, allerdings sollten vernünftige Sicherheitseinstellungen des Browsers sowie ein gewisses Mißtrauen gegenüber sämtlicher "Zugangssoftware", zu deren Installation man evtl. aufgefordert wird, das Risiko ohnehin stark begrenzen. Auch spricht für Windows-Nutzer nichts gegen den regelmäßigen Besuch der Windows-Update Seiten von Microsoft.

Browser-Sicherheit
Seit der Integration des Internet Explorer in das Windows-Betriebssystem ist es für einen Großteil der Nutzer selbstverständlich geworden, mit diesem auch im Internet zu surfen. Mittlerweile sprechen aber das Bekanntwerden von Sicherheitslücken im Wochentakt, das Fehlen von Komfortmerkmalen anderer moderner Browser sowie die große Anfälligkeit gegenüber Spyware recht deutlich gegen die Verwendung des Internet Explorer.
Komfortabler, schneller und - zumindest solange sie noch nicht das Lieblingsobjekt von Malware-Programmierern sind - vor allem sicherer sind alternative Browser wie der kostenlose Firefox oder der inzwischen ebenfalls komplett kostenlose norwegische Browser Opera. Letzterer ist mittlerweile zu einer kompletten Software-Suite angewachsen, die neben dem eigentlichen Browser noch einen Mail-Client, einen Newsgroup-Reader, einen Reader für RSS-Feeds und ganz neu sogar eine Sprachsteuerung enthält.
Firefox hat den Vorteil, daß er nicht nur kostenlos ist, sondern auch eine ganze Reihe nützlicher Erweiterungen verfügbar sind, wie z.B. ein Adblock-Plugin, mit dem sich lästige Werbebanner und Flash-Animationen unterdrücken lassen.

Neben klassischer Spyware, die im harmlosen Fall Werbebanner auf die heimische Platte schaufelt, gibt es auch diverse andere Malware ('Schädlingssoftware') wie Browser-'Hijacker', die z.B. die Startseite manipulieren, Suchanfragen auf Bannerfarmen für die Erschleichung von Provisionen umlenken oder schlimmstenfalls private Informationen des Anwenders ausspionieren.
Hier bewähren sich die Programme Ad-Aware und Spybot Search&Destroy. Gerade letzteres erkennt auch die gebräuchlichsten Dialer sowie andere Malware. Zudem kann man damit seine Autostart-Programme verwalten und andere Systemeinstellungen bequem vornehmen. Beide Programme sind kostenlos erhältlich und können regelmäßig auf den neuesten Stand gebracht werden.
Als Ergänzung - gerade bei umfangreich "verseuchten" Systemen - hat sich zudem AVG Anti-Spyware (vormals "Ewido Anti-Spyware") bewährt. Ebenso wie AVG Free läßt sich AVG Anti-Spyware (mit Einschränkungen) kostenlos nutzen.
Eine Sonderstellung nimmt der Hijacker "CoolWWWsearch" ein, der die Charakteristik eines Trojaners besitzt und in vielen verschiedenen Variationen durch das Netz geistert. An diesem bissen sich viele Removal-Tools in der Vergangenheit oft die Zähne aus, glücklicherweise gibt es den darauf spezialisierten CWShredder.

Das Einnisten von Spyware von vornherein verhindern möchte Spyware Blaster. Es "impft" das System ähnlich der Immunisierungsfunktion von Spybot und soll damit die hartnäckigsten Spyware-Parasiten bereits im Vorfeld abblocken. Die Idee ist vielversprechend - die Wirksamkeit konnten wir mangels objektiver Testverfahren jedoch noch nicht auf die Probe stellen.

Benutzerrechte

Inzwischen keine neue Erkenntnis mehr: Microsoft Windows ist nicht zuletzt aufgrund der weiten Verbreitung das beliebteste Ziel von Programmierern für Schadsoftware. Und obwohl gerade die inzwischen bei Privatanwendern häufig genutzten Versionen Windows XP und Windows 2000 alles mitbringen, um mittels Rechteverwaltung schon die größte Gefahr (nämlich die vor dem Bildschirm...) einzudämmen, surfen nach unseren groben Schätzungen etwa 80% der Nutzer als Administrator - noch dazu ohne ein gesondert vergebenes Kennwort. Im Falle eines Sicherheitslecks haben Viren, Würmer, Dialer und Angreifer ein leichtes Spiel.
Die erste Maßnahme sollte daher sein, unter XP und Win 2000 einen Benutzer mit eingeschränkten Rechten anzulegen, unter dessen Account man dann im Internet surft und seine alltäglichen Arbeiten erledigt (idealerweise sollte dieser auch keine DFÜ-Verbindungen anlegen dürfen, damit hat man bereits einen ersten Schutz gegen Dialer).
Nur zur Installation von Systemtreibern oder Software, welche dies unbedingt erfordert, sollte man sich als Administrator einloggen (bitte nicht mit 'leerem' Kennwort!). Bei der Vergabe von Kennwörtern sollte man phantasievoller sein, als lediglich "password" etc. zu wählen.
Wichtig! Damit dies richtig funktioniert, muß das NTFS-Dateisystem verwendet werden!
Auch sollte man sich idealerweise mit Freigaben unter Windows sowie Policies vertraut machen - vor allem, wenn sich z.B. die gesamte Familie einen PC teilt oder man ein eigenes kleines Netzwerk eingerichtet hat.
Die Zeitschrift c't hat in der Ausgabe 15/04 übrigens mehrere lesenswerte Artikel zu diesem Thema veröffentlicht.

3. Firewall
Software-Firewalls sind beim Gelegenheits-Surfer leider auch dazu geeignet, Paranoia zu schüren. Wer mit einer (Modem)-Wahlverbindung im Internet ist, ist häufig gar nicht lange genug online, um ein 'unbewegliches' Ziel darzustellen. Dennoch besteht auch hier natürlich in der Theorie immer die Möglichkeit eines Angriffs und wie der Wurm w32.Blast gezeigt hat, kann es unter Umständen jeden treffen, der eine direkte Verbindung ins Internet hat. Darüber hinaus sind bei den älteren Windowsversionen die Voreinstellungen des DFÜ-Netzwerks leider so gewählt, daß der NetBIOS-Port vom Internet aus zugänglich ist. Ob das bei Ihrem Rechner der Fall ist, können sie z.B. bei Shields Up! testen lassen (z.B. 'Common Ports' wählen). Ist der Port 139 offen, so ist in den Einstellungen der jeweiligen DFÜ-Verbindung evtl. die Bindung an die Datei- und Druckerfreigabe sowie an den Client für Windows-Netzwerke aktiv. Dies ist für eine normale Internet-Einwahl nicht nur nicht nötig, sondern u.U. höchst gefährlich! Diese Bindungen sollten also ggf. deaktiviert werden und im Anschluß noch einmal die Verbindung mit z.B. ShieldsUp getestet werden.
Unangenehm aufgefallen ist uns in dieser Hinsicht der SmartSurfer von Web.de. Eigentlich ein nützlicher LeastCost-Router für Modem- und ISDN-Nutzer, allerdings legte dieser in der Vergangenheit eine DFÜ-Verknüpfung mit Bindung an die Datei- und Druckerfreigabe an und machte aus dem heimischen Rechner damit das sprichwörtliche offene Scheunentor.
Sollten Sie den SmartSurfer verwenden, so überprüfen Sie bitte die Eigenschaften der "SmartSurfer2000"-Verbindung im DFÜ-Netzwerk und wählen ggf. die überflüssigen Bindungen (benötigt wird nur TCP/IP) bei Bedarf ab. In der aktuellen Version sollte dieser Fehler mittlerweile behoben sein.

Das kostenlose ZoneAlarm bietet eine einfach zu konfigurierende Firewall. Allerdings sind viele Anwender von den anfänglichen Rückfragen und Warnmeldungen teilweise verwirrt. So wird das übliche 'Rauschen' im Netz (Pings etc.) schnell als "abgewehrter Angriff" deklariert, daher sollte man die Warnmeldungen auch nicht voreilig überbewerten. Im schlimmsten Fall sind die Nutzer davon genervt und schalten das Programm irgendwann komplett wieder ab - eine Gefahr, die übrigens auch bei allzusehr gängelnden Virenscannern durchaus gegeben ist.

Bislang war die Kerio Personal Firewall etwas ausgefeilter in den Konfigurationsmöglichkeiten und auch etwas umständlicher in der Bedienung. Allerdings hat man sich (leider?) in der aktuellen Version der Konkurrenz von Zone Labs deutlich angenähert. Manche Feineinstellung ist dort leider nicht mehr möglich (Fortgeschrittene sollten sich evtl. nach der älteren Version 2.1 umsehen).
Wer mit einem Router ins Netz geht, muß sich um eine zusätzliche Firewall normalerweise nicht weiter kümmern, da der 'natürliche Schutz' durch NAT meist schon genügt. Darüber hinaus lassen sich bei vielen Routern auch einzelne Ports schließen. Kritisch sind vor allem die UDP-Ports 135, 137, 138 und 445 sowie die TCP-Ports 135, 139, 445 und 593. Diese sollte man am besten gleich im Router blocken lassen.

Messenger-Spam
Nach wie vor erhalten viele Internetnutzer während des Surfens merkwürdige Nachrichten in einer Windows-Messagebox, die von Zeit zu Zeit aufpoppt. Dies rührt vom (in lokalen Netzwerken durchaus nützlichen) Windows Nachrichtendienst her, der unter Windows 2000 und XP standardmäßig aktiv ist. Diese Nachrichten sind zwar an sich nicht gefährlich, doch besteht innerhalb des Nachrichtendienstes eine Sicherheitslücke, die längst noch nicht auf jedem System beseitigt wurde. Mehr Informationen zu Messenger-Spam und eine Anleitung zum Abschalten des Dienstes finden sich z.B. auf Trojaner-Info.de.

4. Spam und ganz aktuell: Wümerspam
Für Spam gilt leider inzwischen: wer darauf angewiesen ist, eine öffentliche Email-Adresse zu verwenden (z.B. als Website-Betreiber), der erhält unter Garantie bereits nach kurzer Zeit unerwünschte Werbe-Emails (Spam). Das Sammeln von Email-Adressen in Internet-Newsgroups ist eine der ältesten Quellen für Spammer, so daß man dort als Absende-Adresse eine "Müll"-Adresse (aber eine dennoch gültige!) eines Freemailers angeben sollte. Auch geben unseriöse Anbieter häufig Kundendaten weiter, so daß man sich auf jeden Fall mehrere Email-Adressen für unterschiedliche Zwecke anlegen sollte. Anbieter kostenloser Email-Dienste wie z.B. GMX bieten mittlerweile schon recht guten Spamschutz an, der bereits einen großen Teil der unerwünschten Emails abblockt. Anbieter wie despammed.com bieten eine kostenlose Email-Weiterleitung mit Spamfilter. Erfahrungsgemäß werden dort jedoch Emails aus Deutschland häufig fälschlicherweise als Spam behandelt. Dies bietet sich daher z.B. eher für die "Reinigung" einer Usenet-Absenderadresse an.

In der letzen Zeit hat das Problem des "Würmerspam" stark zugenommen. Ein (Mail-)Wurm hat im Gegensatz zu Viren oft keine eigentliche Schadroutine, sondern versucht in erster Linie, sich massenhaft zu verbreiten. Der Wurm Swen hatte neben der massenhaften Verbreitung (und der Belastung von Mailservern) auch Effekte wie das Aussperren des Benutzers vom Registry-Editor zur Folge.
Natürlich ist ein solcher Wurm vom "Leichtsinn" der Benutzer abhängig, aber wie die letzten Wurm-Wellen zeigten, scheint kein Dateianhang zu obskur zu sein, daß nicht etliche Benutzer ihn doch zu starten versuchen. Auch kann nicht oft genug betont werden, daß die Firma Microsoft niemals "Sicherheitsupdates" oder dergleichen per Email versendet. Derartige Emails kann man also unbesehen löschen. Ähnliches gilt auch für angebliche Signatur-Updates von Antivirenherstellern. Diese werden ebenfalls nicht per Email verschickt (siehe der deutschsprachige Wurm Sober).
Gegen das Problem, daß Email-Würmer Adressen aus lokalen Adreßbüchern und von beliebigen Websites verwenden, um sich nicht nur weiterzuversenden, sondern auch um die Absenderadresse der Wurm-Mail zu fälschen, läßt sich leider nicht viel unternehmen - außer, die eigene Adresse nicht mehr als nötig öffentlich zu machen.
Denn eine Absenderadresse in einer E-Mail läßt sich genauso leicht fälschen wie die eines klassischen Postbriefs. Die Absenderadressen bei von Würmern verschickten Mails sind so gut wie immer gefälscht und haben mit den Inhabern der mißbrauchten Adressen nichts zu tun. Sie brauchen den vermeintlichen Absender also nicht über eine Infektion zu informieren. Alleine aus den Email-Headern läßt sich mit gewissen Grundkenntnissen die Adresse des einzuliefernden Rechners ermitteln. Bei penetrantem Virenversand könnte man diese (zusammen mit dem kompletten Header) zweckmäßigerweise an den betreffenden Provider übermitteln, der sich dann ggf. an seinen Kunden wendet. Dies sollte man allerdings fortgeschrittenen Anwendern überlassen, die genau wissen, was sie tun.

"Phishing"
Stark zugenommen haben in jüngster Vergangenheit sog. "Phishing"-Versuche. Darunter versteht man das Abfangen von Zugangsdaten, hauptsächlich aber von PIN und TAN-Codes für Internet-Banking unter dem Deckmantel offizieller Schreiben der jeweiligen Banken.
Um nicht auf Phishing hereinzufallen, genügt eigentlich die Erkenntnis, daß keine Bank jemals ihre Kunden nach PINs und TANs fragen würde, schon gar nicht per E-Mail. Auch die meistens in recht holprigem Deutsch daherkommenden Texte sollten bei jedem Nutzer sämtliche Alarmglocken schrillen lassen. Um Phishing-Attacken künftig zu erschweren, sollen kommende Versionen von FireFox und auch dem Internet Explorer einen eingebauten Phishing-Schutz beinhalten.

Anti-Spam Tools
Für den "gewöhnlichen" Mail-Spam gibt es neben dem vorsichtigen Umgang mit der privaten Mail-Adresse noch diverse Hilfsprogramme, die ein schnelles Filtern im Mail-Client ermöglichen oder die Spam-Mails direkt auf dem Server löschen. Letzteres ist aber mit gewissen Risiken verbunden (versehentliches Löschen erwünschter Nachrichten) und für Nutzer mit schnellem Internetzugang empfiehlt sich daher ein lokales Filtern auf dem heimischen Rechner. Ein kostenloses und umfangreich zu konfigurierendes Tool ist SpamPal.

Wer mit einer verhältnismäßig langsamen Einwahlverbindung ins Netz geht, möchte Spam vielleicht aber dennoch direkt auf dem POP-Server seines Providers löschen. Dabei hilft das Freeware-Tool Mailwasher, das leicht zu konfigurieren ist und sich von erfahrenen Usern auch z.B. um weitere RBLs erweitern läßt. Weiterer Vorteil: es läuft unabhängig vom verwendeten Mailclient und kann in der (kostenpflichtigen) Pro-Version sogar die Postfächer von Freemailern mit Web-Frontend (Hotmail etc.) säubern. Da das Löschen verdächtiger Mails nicht automatisch geschieht, ist das Risiko einer versehentlichen Löschung hierbei relativ gering.

Für ungeübte Anwender gibt es auch einfach zu bedienende kommerzielle Produkte, wie z.B. Norton Antispam oder McAfee Spamkiller. Einige Email-Clients wie das kostenlose Pegasus Mail bieten mittlerweile ebenfalls einfache Regeln zur Erkennung von unerwünschten Inhalten. Noch besser löst dies inzwischen der sehr leistungsfähige Open Source-Client Thunderbird . Doch auch die übrigen Hersteller von Sicherheits-Software sind inzwischen längst auf den Antispam-Zug aufgesprungen und bieten entsprechende Softwarelösungen an.

Abschließend möchten wir darauf hinweisen, daß auch die aufgezählten Lösungen keinen 100%igen Schutz bieten. Denn um es einmal ganz hart mit den Worten unserer Eltern zu formulieren: gegen Dummheit ist kein Kraut gewachsen. So konnten wir bereits in der 'Prä-Internet-Ära' feststellen, daß sich z.B. Viren (ein Problem, das ja durchaus schon länger bekannt ist...) in 99 von 100 Fällen über 'Sicherheitskopien' via Diskette vermehrten. Insofern können wir aus unserer Sicht nur empfehlen, halbwegs 'verantwortlich' mit der Technik umzugehen und sich daneben ein paar Grundregeln hinter die Ohren zu schreiben:

Viren, Würmer und Spam: Aktuelle Sicherheits-Tips