SPECIAL

SPECIAL

?
E
G
A
N
O
I
SPin, danke!
MIT DVD

VORSICHT, STAATS-SCHNFFLER! So schtzen Sie Ihre Daten vor Spionen

AUF DVD

CHIP-Toolpaket
fr Sicherheit &
Privatsphre

Ne

r
e
b
e
g
t
a
R
z
t
u
h
sc
n
e
t
a
D
e

o
r
g
Der

Mails verschlsseln
So liest keiner mehr mit!
Chiffrieren leicht gemacht: Schritt fr Schritt zur
sicheren Kommunikation im Internet

Cloud abschotten

So schtzen Sie Ihre Daten vor unbefugtem Zugriff

PLUS: Ihre eigene, private Cloud im Internet

Facebook filtern
Soziale Netzwerke, Chats und Foren:
Goldene Regeln fr vorsichtige Nutzer
8,90 EURO
Ein Sonderheft von CHIP

DT-Control
geprft:

Beiliegender Datentrger
ist nicht jugendbeeintrchtigend

STERREICH: 9,80 EUR

BENELUX: 10,30 EUR SCHWEIZ: 17,80 CHF

VOLLVERSIONEN
AUF DVD

SICHER & ANONYM SURFEN:

STEGANOS ONLINE SHIELD 365
GOOGLE AM SCHNFFELN HINDERN:
ABELSSOFT GOOGLECLEAN 2013

Catch me if you can!

Computerspiele gestern und heute - jetzt im CHIP Kiosk zuschnappen!

8,90 Euro!

EDITORIAL

Das hilft gegen die

Totale berwachung

THORSTEN
FRANKE-HAVERKAMP
Redaktionsleiter

Lange ist es her. 1998 war es, um genau zu sein, als ich
meinen ersten Artikel zur Verschlsselung von E-Mails
schrieb. Damals war ich mir sicher, dass sich diese
Technik rasch durchsetzen wrde. Es konnte doch nicht
sein, dass Unternehmen ihre komplette Kommunikation
ffentlich fhrten. Und Privatanwender wrden so etwas
bestimmt ebenfalls nicht wollen. Doch mit dieser Einschtzung hatte ich mich grndlich geirrt.

nage wehren per Verschlsselung. Wie das geht, erfahren Sie in diesem Heft Schritt fr Schritt.

Alles wird berwacht: Verschlsselte E-Mails sind auch

2013 noch die groe Ausnahme. Allerdings wchst im
Gefolge der Enthllungen des US-Whistleblowers Edward Snowden das Interesse daran rasant. Kein Wunder,
denn nahezu alle unsere E-Mails werden von den Geheimdiensten gescannt. Dass jetzt deutsche Firmen wie
Telekom, GMX und Web.de eine Verschlsselungs-Initiative starten, hilft da nicht. Wer wissen will, wie die berwachung technisch funktioniert, sollte den Beitrag ab
Seite 10 lesen. Doch Sie knnen sich gegen Datenspio-

Sicherheits-Toolpaket: Auf der Heft-DVD finden Sie alle

Programme zu den Workshops sowie ein umfangreiches
Paket fr mehr Sicherheit und Privatsphre. Sie werden
berrascht sein, wie komfortabel heutige Software ist
vielleicht setzt sie sich ja am Ende doch durch.

Risikofaktor Cloud: Doch nicht nur E-Mails sind gefhrdet. Allzu unbesorgt vertrauen wir sozialen Netzwerken
und Webdiensten teilweise sehr persnliche Daten an.
Hier sollten Sie sich besonders schtzen das notwendige Know-how haben wir fr Sie zusammengestellt.

Thorsten Franke-Haverkamp

Impressum
Redaktion
Redaktionsleiter
Redaktion
Schlussredaktion
Autoren/freie Mitarbeiter
Grafik
Titel
Electronic Publishing

COO CHIP
Thorsten Franke-Haverkamp,
Andreas Vogelsang (verantw. fr den
redaktionellen Inhalt)
Julia Schmidt (CvD), Robert DiMarcoberardino,
Mathias Gerlach, Sebastian Sponsel
Angelika Reinhard
Benjamin Hartlmaier, Fabian von Keudell,
Claudio Mller; Hans Br, Jrgen Donauer,
Jrg Geiger, Artur Hoffmann
Janine Auer, Claudia Brand, Doreen
Heimann, Antje Kther, Isabella Schillert,
Veronika Zangl
Stephanie Schnberger (Art Director),
Janine Auer (Grafik)
Vogel Business Media GmbH & Co. KG
Andreas Niemeyer, Matthias Bucks
Max-Planck-Strae 7/9, D-97064 Wrzburg

Verlag
Anschrift

Verleger
Geschftsfhrung

Director Sales
Key Account Manager
Sales Manager Markenartikel
Verantwortlich
fr den Anzeigenteil
Herstellungsleitung
Druck
Leiter Vertrieb &
Produktmanagement
Vertrieb
Leserservice/Kontakt

CHIP Communications GmbH,

Poccistrae 11, 80336 Mnchen
Tel.: (089) 7 46 42-0,
Fax (089) 74 60 56-0
Die Inhaber- und Beteiligungsverhltnisse lauten wie folgt:
Alleinige Gesellschafterin ist die
CHIP Holding GmbH mit Sitz in der
Poccistrae 11, 80336 Mnchen
Prof. Dr. Hubert Burda
Thomas Pyczak (CEO)
Dr. Roman Miserre (CFO)
Thomas Koelzer (CTO)

Florian Schuster (Print)

Markus Letzner (Online)
Jochen Lutz, Tel.: (089) 7 46 42-218,
Fax -325, jlutz@chip.de,
chip.de/media
Erik Wicha, Tel.: -326, ewicha@chip.de
Katharina Lutz, Tel.: -116, klutz@chip.de
Elina Auch, Tel.: -317, eauch@chip.de
Burda Community Network GmbH,
Dagmar Guhl,
Tel.: (089) 92 50-2951, Fax -2509,
dagmar.guhl@burda.com
Andreas Hummel, Frank Schormller,
Medienmanagement, Vogel Business
Media GmbH & Co. KG, 97064 Wrzburg
Vogel Druck & Medienservice GmbH,
Leibnizstr. 5, 97204 Hchberg
Andreas Laube
MZV GmbH&Co.KG, 85716 Unterschleiheim
www.mzv.de
E-Mail: specials@chip.de

Nachdruck
2013 by CHIP Communications GmbH. Nachdruck nur mit schriftlicher
Genehmigung des Verlags.
Kontakt
Bezugspreise
Nachbestellung

Claudia Grzelke,
cgrzelke@chip.de,
Tel.: (089) 7 46 42-243
8,90 Euro (sterreich: 9,80 EUR;
Schweiz: 17,80 CHF;
Benelux: 10,30 EUR)
chip-kiosk.de
CHIP SICHERHEIT

INHALT
PC

aktuell

6 Die Technik der NSA

So versucht die NSA, das komplette Internet zu observieren

und kommt der totalen berwachung sehr nahe

MOBIL
SMART-HOME

8 berwachung.de

Die neue Bestandsdatenauskunft: Um an Daten zu kommen,

brechen Behrden sogar geltendes Recht

10 Was macht mich verdchtig

INDUSTRIE

Unsere Kommunikation, unser Verhalten alles wird

berwacht. Computer entscheiden, wer gefhrlich ist

14 Die geheimen Mchte im Internet

Viele Strippenzieher hinter Facebook, PayPal & Co. bleiben

lieber im Verborgenen. CHIP bringt Licht ins Dunkel

18 Die neuen Ziele der Hacker

Je vernetzter wir leben, desto mehr Angriffsflche bieten wir

und die organisierte Cyberkriminalitt rstet aggressiv auf

pc absichern
24 10 Sicherheitsregeln

In diesem Beitrag finden Sie die zehn wichtigsten SicherheitsGebote, die Sie unbedingt beachten sollten

28 Computer absichern in 10 Minuten

Nur fnf Schritte und Sie haben die wichtigsten Punkte

erledigt, um Ihr Sicherheitsrisiko zu minimieren

30 Security-Suiten im Hrtetest

Kostenlos oder kostenpflichtig: Halten Avira, Kaspersky,

Norton & Co. wirklich, was sie versprechen?

SECURITYSUITEN 30

42 PC entrmpeln, entmllen, entgiften

Eine Putzaktion sorgt nicht nur fr mehr Platz und bersicht,

sondern macht Ihren Rechner auch schneller und sicherer

48 Passwort adieu

Verlieren Sie nicht den berblick ber Ihre Accounts.

Wir zeigen Ihnen die Alternativen zum klassischen Passwort

52 Virenschutz endlich inklusive

Windows Defender: In Windows 8 ist erstmals der Schutz vor

Spyware und Viren fest integriert

54 Die Windows-Firewall

So konfigurieren Sie die integrierte Windows-Firewall in

Windows 8 und behalten die Kontrolle ber Ihren Rechner

56 Sicher surfen per VPN-Tunnel

So verhindern Sie, dass Ihre IP-Adresse bekannt wird und

Unbefugte in Ihren Datenpaketen herumschnffeln

CHIP SICHERHEIT

STEUERUNG
E-MAILS
MIT
GESTEN 22
VERSCHLSSELN 60

schnffler aussperren

60 Sichere E-Mails dank Verschlsselung

Verschlsseln Sie Ihre E-Mails mit Gpg4win, damit niemand

unbefugt Ihre elektronische Post lesen kann

62 Chatten ohne Angst vor Mithrern

Keine Lust auf Schnffler beim Chatten?
Kommunizieren Sie knftig ber Cryptocat

64 Anonym im Web mit dem Tor-Browser

Nutzen Sie das Anonymisierungs-Netzwerk Tor, um keine
Spuren im Internet zu hinterlassen

DIE NEUEN ZIELE

DER HACKER 18

68 Facebook absichern

Wir zeigen Ihnen, wie Sie die wichtigsten Sicherheits- und

Privatsphre-Einstellungen optimieren

open source
70 Startpage statt Google

Es muss nicht immer Google sein: Mit diesen Alternativen

surfen Sie, ohne dass Ihre Anfragen gespeichert werden

72 Linux statt Windows

Verabschieden Sie sich von Windows und schtzen Sie sich

so vor Eingriffen in Ihre Privatsphre

76 Libre Office statt Microsoft Office

Eine vollwertige Office-Suite, die nicht nur kostenlos zur

Verfgung steht, sondern auch sicherer ist

78 Die besten Open-Source-Tools

Holen Sie sich kostenlose Sicherheit mit diesen

15 ausgewhlten Open-Source-Tools

daten schtzen

82 So schtzen Sie sich vor Usertracking

Wir zeigen Ihnen die Tricks der grten Datensammler und

verraten Ihnen, wer sie sind und wie Sie sich schtzen

LINUX STATT
WINDOWS 72

88 Die besten Alternativen zu Amazon

Amazon ist zwar bequem aber es gibt auch interessante

Anbieter, die weniger radikal hinter Ihren Daten her sind

92 Datensicherung mit Versionsverwaltung

So knnen Sie unter Windows 8 verschiedene Versionen
ausgewhlter Dateien sichern und wiederherstellen

94 Die eigene Cloud mit ownCloud

Die Alternative zu Dropbox, Skydrive & Co.: Volle Kontrolle

ber die eigenen Daten und trotzdem berall Zugriff

service
IM NETZ DER
DATENDEALER 82

3
34
36
40

Editorial, Impressum
Highlights der Heft-DVD
DVD-Inhalt: Vollversion Steganos Online Shield 365
DVD-Inhalt: Vollversion GoogleClean 2013

CHIP SICHERHEIT

AKTUELL

Die Technik der

Ist es mglich, das komplette Internet zu observieren? Die NSA versucht das mit
einem Technologie-Mix und kommt der totalen berwachung sehr nahe

ehr als 60 Jahre nach der Erstverffentlichung ist George

Orwells dsterer Roman 1984 in den USA und Grobritannien kurzzeitig wieder in die Bestsellerlisten eingestiegen. Auslser fr die sprunghaft angestiegenen
Verkufe war Edward Snowden, jener IT-Fachmann, der
einmal fr die National Security Agency (NSA) arbeitete und nun
ein Geheimsystem zur berwachung des Internets enthllt, das in
seinen Dimensionen bisher undenkbar gewesen ist.
Der Geheimdienst, so steht es in den von Snowden vorgelegten
Papieren und Prsentationen, habe etwa direkten Zugriff auf die Server von Google, Microsoft, Facebook, Yahoo und Apple. Diese Firmen
und auch die NSA streiten ab, dass es einen solchen Zugriff gibt. Daten wrden nur auf Anfrage herausgegeben, beteuern beide Seiten.

1,5 Gigabyte Daten pro Sekunde

Mutmalich versucht die NSA schon seit Lngerem, an die Daten der
Internetuser aus aller Welt zu kommen. Ziemlich sicher ist, dass sich
der US-Geheimdienst seit Mitte der 2000er-Jahre auf viele Netzknotenpunkte aufschaltet. Das erste Indiz fr diese Machenschaften lieferte 2006 der AT&T-Mitarbeiter Mark Klein, der ausplauderte, dass

CHIP SICHERHEIT

der Telekommunikationskonzern der NSA Abhrzugriff auf seine Leitungen gab. Der gesamte Traffic wurde seitdem ber den sogenannten NarusInsight Semantic Traffic Analyzer geleitet eine Art Schattenkopie der Daten fr die NSA. Die Kapazitt der Abhreinrichtung
ist erstaunlich: 1,5 Gigabyte pro Sekunde analysiert allein einer der
Abhrmechanismen, verspricht Narus-CEO Neil Harrington.
Da sehr viele Datenverbindungen ber US-Knoten laufen, haben
die Amerikaner durch die Kontrolle der Hauptknoten nicht nur Zugriff auf den Internettraffic in den USA. Denn die Daten nehmen im
Web immer den schnellsten Weg. Daher wickeln Europa, Lateinamerika und Asien einen Groteil ihres Traffics ber US-Knoten ab.
Noch vor ein paar Jahren hatte die NSA allerdings das Problem,
die gewaltigen Datenmengen kaum analysieren zu knnen. Die 1,5
Gigabyte pro Sekunde kamen nur von einem einzigen Netzknoten,
S. 34
insgesamt hrte die NSA allerdings eine weit grere Anzahl ab. Um
den tglichen Internettraffic von 1,1 Exabyte zu analysieren, gab es
schlichtweg noch keine Technik. Die Lsung schaute sich die NSA
schlielich von Google ab: Im November 2006 verffentlichte das
Unternehmen einen Forschungsbericht ber die Analyse von groen
Datenmengen im Petabyte-Bereich. Der Knackpunkt war, den en-

FOTO: REUTERS/JIMMY URQUHART

V O N FA B I A N V O N K E U D E L L

INFO
SO SCHTZEN SIE SICH
Kontakte
Das deutsche Start-up licobo.com synchronisiert
Kontaktdaten von Smartphones mit einem OnlineServer und verschlsselt diese ber ein individuelles
Userpasswort. Selbst der Betreiber der Plattform hat technisch
keine Mglichkeit, auf die Adressbcher der Kunden zuzugreifen.
E-Mails
Zum einen sollten User nur einen deutschen E-MailProvider nutzen. Der kann nicht ohne Weiteres von
den NSA-Schnfflern ausgelesen werden. Mehr Sicherheit durch Verschlsselung bietet PGP (www.pgpi.org). Jedoch mssen Empfnger und Absender die Software installieren.

NSA

ormen Datenstrom an einem Ort zu sichern. Der Suchmaschinenriese hat dafr das Google File System (GFS) eingefhrt und die NSA
hat diese Technik augenscheinlich bernommen und unter dem
Namen Accumulo weiterentwickelt. Dabei werden die eingehenden
Daten in 64 Megabyte groe Teile gesplittet und auf sogenannte
GFS-Chunkserver gespeichert. Die Indexierung bernimmt der GFSMaster, der nur die Metadaten speichert, etwa den Dateinamen und
den Speicherort. Diese Master-Rechner verfgen ber Terabyte-groe Indexdateien, die von mehreren tausend Chunkservern simultan
aktualisiert werden. Um die Auswertung kmmern sich eigene
Schatten-Master, die Kopien der Indexdaten auslesen.
Damit ist es mglich, nach zusammenhngenden Informationen
zu suchen, etwa nach bestimmten Schlsselwrtern innerhalb von
E-Mails, die von einem bestimmten IP-Adressbereich stammen. Die
NSA nutzt dafr Programme wie Palantir, die Zusammenhnge von
Datenstzen grafisch aufbereiten. Dank Accumulo lassen sich komplette Profile einzelner Personen anlegen und das fr jeden User
des Internets. Um diese immer weiter anschwellenden Datenmassen
zu verarbeiten, hat die NSA in Utah ein Datenzentrum fr 1,2 Milliarden US-Dollar gebaut, das Zetabytes an Informationen verwalten
kann, so der ehemalige technische Direktor der NSA, William Binney.
Doch die Daten der Netzknoten haben einen Haken: Viele sind verschlsselt, da die User eine SSL-Verbindung zum Webdienst aufbauen.
Neuesten Informationen zufolge hat die NSA nun auch direkten
Zugriff auf die Metadaten der Konmunikation, die innerhalb einzelner Webdienste abluft also nicht ber Netzknoten fliet. Die

Daten
Mit der Freeware SharedSafe (sharedsafe.com) lassen sich Daten wie Word-Dokumente verschlsselt
in ffentlichen Cloud-Speichern ablegen. Dazu chiffriert die Software die Daten mit einem eigenen Schlssel, der
auf dem lokalen Rechner gesichert ist. Als Speicherort dienen
dann Dropbox & Co. Dabei handelt es sich zwar um US-Clouddienste, allerdings kommt die NSA lediglich an die verschlsselten Daten und diese sind nur sehr aufwendig zu knacken.

Metadaten geben etwa Auskunft ber den Absender und Empfnger

einer E-Mail, nicht aber ber den Inhalt. Diesen muss die NSA erst
beim Webdienst offiziell anfragen. Alles in allem kann der Geheimdienst nun so gut wie jeden Menschen der Welt verfolgen bevor er
etwas Unrechtes getan hat. Der deutsche Sicherheitsforscher Tobias
Jeske von der TU Hamburg-Harburg ist alarmiert: Die NSA kann etwa mit den Daten des von Google krzlich gekauften Navigationsdienstes Waze komplette Bewegungsprofile erzeugen auch von
Deutschen. Dass das umgesetzt wird, ist sehr wahrscheinlich, denn
die Deutschen gehren zu den von der NSA am meisten abgehrten
Personen der Welt.

Abhren alles ganz legal

Eigentlich darf die NSA laut US-Gesetz nur auslndische Personen

berwachen. Dafr hat der Dienst einen speziellen Algorithmus installiert, der prft, welcher Nationalitt der Ausgesphte angehrt.
Der Algorithmus arbeitet jedoch gerade mal mit einer Genauigkeit
von 51 Prozent. Will die NSA Personen bespitzeln, muss sie jedesmal
bei Gericht eine Anfrage stellen. Offiziell wurden vergangenes Jahr
1.789 Anfragen gestellt abgelehnt wurde keine.
Auch in Deutschland existiert eine Art Geheimgericht fr die hiesigen Geheimdienste die G 10-Kommission. Einmal pro Monat
kommt die Gruppe, die nach dem Artikel 10 des Grundgesetzes benannt ist, zusammen. Dieser Artikel regelt das Fernmeldegeheimnis
und genau darber entscheiden die vier stndigen Mitglieder unter
der Leitung von Dr. Hans de With. Wollen deutsche Geheimdienste
Telefon- und Internetkommunikation abhren, mssen sie bei der
G 10-Kommission um Erlaubnis fragen. Einen richterlichen Beschluss
bentigen die Dienste dann nicht mehr genau wie die NSA. Trotz
der Erlaubnis: Eine direkte Verbindung von den Nachrichtendiensten
auf die Server der Internetkonzerne, wie sie die NSA in den USA hat,
gibt es innerhalb Deutschlands nicht. Fraglich ist aber, ob das noch
lange so bleibt, denn der Bundesnachrichtendienst (BND) will die
Internetberwachung extrem ausweiten. Dazu wurde gerade ein
100-Millionen-Euro-Programm bewilligt, mit dem der BND seine
berwachungstechnik auf den neuesten Stand bringen mchte.

CHIP SICHERHEIT

AKTUELL

2.000

1.500

BEHRDLICHE AUSKUNFTSERSUCHEN
X ERSUCHEN, DENEN GOOGLE NACHKAM

1.000

500

31.12.09

31.12.10

2.875.000 0,01

Mails, Faxe und Anrufe

untersuchte der
Bundesnachrichtendienst (BND) 2011

31.12.11

Prozent
der gefilterten Auslandsverbindungen
waren relevant

31.12.12

QUELLE: GOOGLE-TRANSPARENZBERICHT

ANZAHL AUSKUNFTSERSUCHEN

15.530

Suchbegriffe
nutzte der BND durchschnittlich, um Kommunikation zu filtern

SECHSMAL KRITIK AN DER

BESTANDSDATENAUSKUNFT

1
2
3
4
5
6

Keine klare Rechtslage

Die Neuregelung enthlt keine

konkreten Vorschriften dafr, wann ein
Zugriff auf die Daten erlaubt sein soll.

Zu niedrige Hrden

Die Identifizierung von Internetnutzern

ist selbst zur Ermittlung geringfgiger
Ordnungswidrigkeiten zugelassen.

Patrick Breyer (Piratenpartei) kritisiert die

Bestandsdatenauskunft

Leichter Zugriff fr Geheimdienste

Die Identifizierung von Internetnutzern durch Geheimdienste wie

den Verfassungsschutz setzt keine tatschlichen Anhaltspunkte
fr das Vorliegen einer konkreten Gefahr voraus.

Unklare Regelung fr Passwort-Abfragen

Es ist unklar und nicht kontrollierbar, unter welchen Voraussetzungen Provider Zugriffscodes wie Mailbox-PINs oder
E-Mail-Passwrter an Staatsbehrden herausgeben drfen.

User drfen nicht informiert werden

Providern wird untersagt, ihre Kunden ber Datenabfragen zu

benachrichtigen selbst wenn die Lnder Stillschweigen nicht
anordnen, etwa bei Suizidgefahr oder vermissten Personen.

Einrichtung einer elektronischen Schnittstelle

Provider mssen Behrden eine elektronische Schnittstelle fr

den Datenzugriff einrichten. Die Erleichterung der Datenabfrage
durch so eine Schnittstelle ist unverhltnismig.

QUELLE: BLOG.VORRATSDATENSPEICHERUNG.DE (GENEHMIGT VON P. BREYER)

BEGEHRTE GOOGLE-ACCOUNTS

ber seine anmeldepflichtigen Dienste sammelt Google unzhlige

Nutzerdaten. Was von Datenschtzern kritisiert wird, weckt anderswo Begehrlichkeiten: 2012 wollten deutsche Behrden insgesamt
3.083 mal wissen, was Google ber seine Nutzer gespeichert hat.

berwachung.de

Die neue Bestandsdatenauskunft erweitert den staatlichen Zugriff auf unser digitales Leben. Um an Daten zu kommen, brechen Behrden sogar geltendes Recht
VON BENJAMIN HARTLMAIER

CHIP SICHERHEIT

800.000

Handydatenstze erhob das schsische Landeskriminalamt per Funkzellenabfrage whrend

einer Anti-Nazi-Demonstration im Februar
2011. Diese Methode, die laut Gesetz nur als letztes Mittel eingesetzt werden darf, kommt bei Strafverfolgern immer mehr in
Mode: Das beschreibt der Berliner Datenschutzbeauftragte Alexander Dix in seinem aktuellen Jahresbericht. Funkzellenabfragen
wrden danach oft auch in Fllen genutzt, in denen es weniger gravierende Ermittlungsmethoden gbe. Laut dem Bericht hlt sich
die Berliner Staatsanwaltschaft deshalb nicht an die gesetzliche
Regelung, weil sie diese fr praxisfern hlt.

150.000

Euro pro Einsatz: So viel kostet die Schnffelsoftware FinSpy je nach Ausstattung mindestens. Derzeit testet das Bundeskriminalamt (BKA),
ob die Software der Mnchner Firma Gamma International als
Staatstrojaner infrage kommt. Das Vorhaben des BKA, FinSpy
einzusetzen, ist heikel: Der letzte Staatstrojaner, der hnliche
Funktionen wie FinSpy hatte, wurde fr verfassungswidrig erklrt.

S. 34

INFOGRAFIK: BARBARA HIRTENFELDER; VERONIKA ZANGL

FOTO: GERICHTSHOF DER EUROPISCHEN UNION/G. FESSY

6.000.000

Mal haben deutsche Sicherheitsbehrden

2011 Bestandsdaten bei Providern angefordert. Etwa 7,5 Prozent der Bevlkerung
wurden so anhand ihrer Telefonnummer identifiziert. Diese Zahl
knnte bald steigen, denn der Bundestag hat eine Neuregelung der
Bestandsdatenauskunft beschlossen. Danach drfen Behrden jeden Brger knftig auch anhand der IP-Adresse identifizieren. Als
Grund dafr reicht bereits eine Ordnungswidrigkeit aus, etwa die
Anstiftung eines Minderjhrigen zu einer verbotenen Handlung.
Neu ist auch, dass Behrden Handy-PINs/PUKs, sowie Passwrter
fr E-Mail-Konten und Cloudspeicher erfragen drfen. Fr Kritiker
wie den IT-Anwalt Thomas Stadler ist die Bestandsdatenauskunft
deshalb eine Vorratsdatenspeicherung durch die Hintertr, wie er
in seinem Blog internet-law.de schreibt. Der Piraten-Politiker
Patrick Breyer geht in seiner Kritik an der Neuregelung noch weiter: Fr ihn ist das Gesetz verfassungswidrig (siehe oben). Er hat
bereits 2012 vor dem Bundesverfassungsgericht erfolgreich gegen
die alte Regelung geklagt. Jetzt will er wieder vor das hchste
deutsche Gericht ziehen.

SO WERDEN WIR AUSSPIONIERT

Bestandsdatenauskunft, Funkzellenabfrage und Staatstrojaner: Mittlerweile steht deutschen Behrden eine ganze
Reihe von Techniken zur berwachung des Internets zur Verfgung. Der User bekommt davon oft gar nichts mit

BESTANDSDATENAUSKUNFT

STAATSTROJANER

POLIZEI

BESTANDSDATEN
MaxMustermann
Musterstrasse 6
12345 Musterstadt
IMEI: 123456789101112
PIN : ********
PUK: ********
Passwort: ********

POLIZEI

bei PIN/PUK
und Passwr-

STAATSANWALTSCHAFT,
POLIZEI, GEHEIMDIENST,
ORDNUNGSBEHRDE

fragt an

PROVIDER

wird bei Abfrage

von PIN/PUK und
Passwrtern informiert

POLIZEI, GEHEIMDIENST

PRIVATE DATEN

entschlsselte SSL-Inhalte
Skype-Gesprche
Tasteneingaben
Screenshots

RICHTER

schmuggeln

rechner ndern

FUNKZELLENABFRAGE

prft Rechtmigkeit
der Anfrage

USER

USER

bleibt arglos

POLIZEI

USER

muss informiert
werden

INFO

POLIZEI, STAATSANWALTSCHAFT

INFO

Bestandsdaten
auch Stammdaten oder statische Daten genannt, sind die
persnlichen Vertragsdaten,
die der Provider speichert.
Dazu zhlen unter anderem
Name, Adresse, Geburtsdatum und Bankverbindung.

VERKEHRSDATEN
Eingeloggte Handys
Standortdaten
Datentransfers
Anrufe
SMS

RICHTER

muss Abfrage genehmigen

Verkehrsdaten
entstehen bei der Nutzung
von Telekommunikationsdiensten. Sie zeigen etwa
wann, von wo aus und wie
lange telefoniert wurde.
Verkehrsdaten unterliegen
dem Fernmeldegeheimnis.

FUNKZELLE

STREIT OHNE ENDE UM DIE VORRATSDATENSPEICHERUNG

Die Vorratsdatenspeicherung (VDS) ist in der EU umstritten: Whrend sie in Frankreich und Grobritannien bereits praktiziert wird, gilt sie in
Deutschland und Tschechien als verfassungswidrig. Die Richtlinie zur VDS wird gerade von der EU-Kommission berarbeitet
06.07.2006
Irland klagt gegen die
VDS-Richtlinie vor dem
Europischen Gerichtshof
14.12.2005
Europisches Parlament verabschiedet
Richtlinie zur VDS
2005

10.02.2009
Europischer Gerichtshof weist Klage gegen
VDS-Richtlinie ab
November 2007
Bundestag und
Bundesrat verabschieden Gesetz zur VDS

2006

2007

02.03.2010
Bundesverfassungsgericht erklrt
VDS fr ungltig
2008

2009

2010

10.06.2011
Bundesregierung legt
VDS-Gesetzentwurf
mit Quick-FreezeVerfahren vor

2011

11.07.2012
EU-Kommision verklagt Deutschland
wegen Nichtumsetzung der VDS

Ausblick
Ob und wann
die VDS in
Deutschland
kommt, ist
derzeit unklar

2012

CHIP SICHERHEIT

AKTUELL

Was macht mich

verdchtig

Polizei, Bundesnachrichtendienst und andere Behrden berwachen

unsere Kommunikation, unser Verhalten und lassen Computer
entscheiden, wer als gefhrlich eingestuft wird
VON CLAUDIO MLLER
10

CHIP WINDOWS
SICHERHEIT
8

FOTO: FOTOLIA/DANIEL ETZOLD; ISTOCKPHOTO/DOUBLE P; THINKSTOCK/ISTOCKPHOTO

Hallo Susi, gestern

war eine Bombenstimmung, als wir
uns das Finale
angeschaut haben.
Stefan ging nach
dem Tor ab wie eine
Rakete. Jetzt muss
ich Koffer packen
morgen gehts in
den Urlaub!

er berwachungsskandal um Programme wie Prism, Tempora oder XKeyscore bestimmt seit Wochen die Schlagzeilen. Ein Aspekt wird dabei selten diskutiert: Die Entscheidung, wer ein Verdchtiger ist, treffen nicht mehr nur Menschen. Meist entscheiden Computer auf Basis komplexer
Algorithmen , wer vielleicht bald ein Verbrechen verben will.
Doch kann ein Computer das berhaupt leisten? Ist Technik in
der Lage, menschliche Absichten zu entschlsseln? Schon bevor die
NSA-Techniken mit Prism und XKeyscore bekannt wurden, planten
Politiker und Behrden Analyse-Systeme wie Indect, die dieses Versprechen einlsen sollen. Diese technische Entwicklung hat bei allen Vorteilen aber auch eine problematische Seite, warnt Konstantin von Notz, Netzpolitiker der Grnen, nmlich die Auflsung der
Privatsphre. Millionen Brger werden schon heute berwacht. Ein
falsches Wort, eine falsche Bewegung und Sie sind verdchtig.

Big Brother schnffelt im Datenverkehr

Das gigantische Ausma dieser berwachung legte ein Bericht des

Parlamentarischen Kontrollgremiums des Bundestags offen. 2010
analysierten der Bundesnachrichtendienst (BND) und andere Behrden rund 37 Millionen E-Mails, Anrufe und Faxe. Das Ziel: Anhand
von rund 15.000 Schlsselwrtern wie Rakete oder Atom, vor
allem aber konkreten Waffenbezeichnungen, will man Terroristen
und Waffenschieber aufspren. Dass auch Ihre Kommunikation unter den 37 Millionen Datenstzen war, ist sehr wahrscheinlich, denn
Internetprovider berspielen auf Anfrage den kompletten Datenstrom an die Behrden. Die entscheiden dann, in welche Datenpakete sie hineinschauen (siehe Infografik unten).
Die technische Grundlage fr diesen berwachungsapparat sind
Netzwerkmanagement-Systeme, die die Provider ohnehin einsetzen,
um den Datenverkehr in ihren Netzen zu steuern. Per Deep Packet
Inspection (DPI) knnen sie im Datenstrom zum Beispiel Videostreams oder P2P-Daten erkennen und drosseln oder diese Daten fr
die Behrden markieren. Diese Sortierung des Datenstroms ist notwendig, damit sich die Behrden auf Kommunikationsdaten be-

schrnken, erklrt Kristin Wolf, Pressesprecherin von ipoque, einem

Anbieter solcher Lsungen. Wer also nur Videos schaut, muss keine
Sorge um seine Privatsphre haben. Fr die Behrden hat diese Sortierung den weiteren Vorteil, dass sie die Datenmenge reduziert. An
dieser Stelle werden zudem nur unverschlsselte Daten analysiert.
Verschlsselte Informationen kann die Technik nicht einsehen.
Diese, seien es PGP-codierte Mails oder einfache https-Verbindungen, erhalten die Behrden so, wie sie sind. Ob sie sie entschlsseln
knnen, ist jedoch sehr fraglich.

Das Grundgesetz schtzt nur bedingt

Die inhaltliche Analyse der E-Mails anhand von Stichwrtern erledigen die Behrden. So platt es klingt, wer in der Mail ber das Sommerfest von einer Bombenstimmung schreibt, wird zumindest anfangs
von dem Wortfilter erfasst. Sortieren auch die folgenden Filterstufen
die E-Mail nicht aus, prfen am Ende Ermittlungsbeamte, ob der
Absender wirklich verdchtig ist. Aber wer legt eigentlich fest, nach
welchen Wrtern gesucht werden darf und ob nicht auch ganz
unverfngliche Begriffe darunterfallen?
BND-Beamte mssen fr jeden Suchbegriff einen Antrag bei der
G 10-Kommission des Bundestags stellen. Diese Kommission entscheidet, in welchen Fllen das im Artikel 10 des Grundgesetzes
definierte Fernmeldegeheimnis gebrochen werden darf. Geben die
vier vom Parlamentarischen Kontrollgremium berufenen Mitglieder
grnes Licht, darf die berwachungsmanahme drei Monate laufen
kann danach jedoch immer wieder um weitere drei Monate verlngert werden. Diese berwachung betrifft grundstzlich jeden Kunden deutscher Provider. Einzelne Anschlsse drfen die Ermittler
jedoch nur mit richterlicher Erlaubnis gezielt abhren und auch nur,
wenn ein echter Tatverdacht besteht. Dabei zapfen sie Telefonate
oder E-Mails direkt beim Provider ab, knnen also in Echtzeit mithren und mitlesen. Ob allgemeine oder gezielte berwachung, die erhobenen Daten drfen die Ermittler ohne konkreten Verdacht oder
Bezug zu einer Tat nicht speichern. Was genau mit den Daten geschieht, verraten die Behrden jedoch nicht.

E-MAIL-BERWACHUNG

Mit Untersttzung der Provider prfen Behrden E-Mails, Telefonate und Faxe auf bestimmte
Schlagwrter. 2010 waren nur 213 von 37 Millionen Datenstzen strafrechtlich relevant

FOTO: IAN LISHMAN/JUICE IMAGES/CORBIS

PERSON A

P2P

Bombe

INTERNETPROVIDER

E-MAIL

Rakete

VIDEO

BND

E-MAIL
Bombe

Rakete

BND-BEAMTER
TREFFER

RELEVANT
SPAM

RELEVANT

Bombe
Rakete

KEIN TREFFER

DATENSTROM
PERSON B
1 PERSON A schreibt
eine Mail an B, darin kommt
ein verdchtiges Wort vor

2 INHALTSFILTER

sortiert den Datenstrom per

Deep Packet Inspection
(DPI) und sendet die Daten
an die Ermittlungsbehrden

3 WORTFILTER prft,
ob sie Wrter wie Bombe,
Atom oder Anschlag
enthalten. Inhalte ohne die
Wrter werden aussortiert

4 SPAMFILTER sortiert
die irrelevanten Spammails
aus. Der Spamanteil liegt
hnlich wie im Mailverkehr
bei rund 90 Prozent

5 BEAMTE prfen die

relevanten Mails und andere
Kommunikationsinhalte,
etwa Telefonate, auf echte
Verdachtsmomente

CHIP SICHERHEIT

11

AKTUELL

So gruselig es klingt, dass Fremde Ihre Mails lesen, nach deutschem

Recht knnen Sie nichts dagegen tun. In der Telekommunikationsberwachungsverordnung (TKV) heit es, der Provider hat in seinen Rumen die Aufstellung und den Betrieb von Gerten des
Bundesnachrichtendienstes zu dulden. So gro dieser berwachungsapparat jedoch ist, so klein ist seine Erfolgsquote. Von den 37
Millionen analysierten E-Mails, Telefonaten und Faxen waren nur
213 nachrichtendienstlich relevant davon zwlf E-Mails. Man
knnte nun den Sinn dieses Apparats anzweifeln. Doch das Gegenteil ist der Fall: Die Behrden rsten ihn weiter auf.

Software als Hellseher: Wer wird ein Tter?

Neben der Prfung verdchtiger E-Mails wollen Ermittler zuknftig

auch soziale Netzwerke, Chats, Foren und Blogs mit Sprachanalysen
berwachen, die den Kontext eines Gesprchs erkennen sollen. Vorzeigeprojekt dafr ist Indect, das mit EU-Geldern die Computeranalyse menschlichen Verhaltens (online und offline) sowie die Vernetzung smtlicher berwachungsmanahmen erprobt. Ziel von
Indect ist es, Verbrechen zu erkennen, bevor sie passieren, indem
man im Verhalten der Menschen Anzeichen dafr erkennt.
Whrend die Onlineberwachung noch entwickelt wird, hat man
die Videoberwachung schon getestet. Bei der Fuball-EM in Polen
hat die Polizei entgegen allen Dementis in Warschau den Flughafen
und die U-Bahnen mit Kameras und das Stadion mit Drohnen berwacht. Die mit Indect verknpfte Hoffnung: Verbrechen durch Abschreckung verhindern und Kosten sparen, indem Computer die
Arbeit bernehmen. Nicht Beamte prfen die Kamerabilder, sondern
eine Software sucht darin nach potenziellen Gefahren. Dafr bedient
sie sich in Polizeidatenbanken, die biometrische Personendaten und
Vorstrafen speichern (siehe Infografik unten). Erst wenn die Software einen starken Verdacht hat, prfen Beamte den Fall vor Ort.
Verdchtig knnen Sie sich schneller machen, als Sie denken. Polnische Polizisten haben aus ihrer Alltagserfahrung abnormales Verhalten definiert, das als Grundlage fr die Verhaltenserkennung
von Indect dient. Dazu zhlen: Rennen, zu langes Sitzen an einem

Ort, im Bus oder der Bahn auf dem Boden sitzen, Fluchen, das Treffen mehrerer Personen und hnliche Banalitten. Das ist nicht nur
schwammig, sondern schlichtweg alltglich. Whrend das Verhalten
von Menschenmassen, etwa in der Panikforschung, durchaus analysierbar und vorhersagbar ist, ist die Technik bei einzelnen Personen
oft noch ratlos. Aus diesem Grund zweifeln Wissenschaftler auch an
der Effektivitt solcher berwachungsmanahmen, die durch Fehlalarme viele Beamte unntig beschftigen. Die Algorithmen sind
noch sehr plump, die Entwicklung steckt noch in den Kinderschuhen, warnt Dominic Kudlacek von der Ruhr-Universitt Bochum. Er
erforscht dort die Videoanalyse von Personenbewegungen an Flughfen und berichtet: Zum Teil identifiziert der Rechner ein Kind als
einen Koffer oder umgekehrt. Abnormales Verhalten zu erkennen,
ist fr Computer aktuell unmglich.
Dass der Mensch Verdchtige besser erkennen kann als ein Rechner, beweist der laut Kudlacek sicherste Flughafen der Welt, Ben Gurion
bei Tel Aviv (Israel). Das Erfolgsgeheimnis: sehr gut geschulte Sicherheitskrfte, die selbst entscheiden, wen sie kontrollieren. Sie arbeiten nach der 80/20-Regel: 80 Prozent ihrer Kapazitten konzentrieren sie auf 20 Prozent der Fluggste. Sie kontrollieren also eher den
krftigen jungen Mann, der allein reist, als die gebrechliche Gromutter. Mit umfangreichen Sicherheitsprfungen und Befragungen
testen sie zudem die Reaktion der Passagiere.
Doch auch diese Methode ist nicht unumstritten. Das Problem mit
menschlicher berwachung ist der Mensch. Menschen langweilen

Indect wird eine

Diktatur durch
Technik sein
VOLKER MNCH (Piratenpartei), Koordinator
der Initiative Stopp INDECT

VIDEOBERWACHUNG MIT INDECT

Mit softwaregesttzten berwachungssystemen

wie Indect wollen Behrden verdchtiges Verhalten
erkennen und Verbrechen verhindern

PERSONENDATEN

VORSTRAFENREGISTER

2 GESICHTSERKENNUNG

der beobachteten Person

anhand von Biometriedaten
1 KAMERAS filmen auf
ffentlichen Pltzen mit
Full HD (1.080p). Das Ziel:
verdchtige Verhaltensmuster erkennen

KOFFER STEHEN LASSEN

3 ABGLEICH des
Namens der Person mit
Polizeidatenbanken

4 EINSCHTZUNG des
Gefahrenpotenzials anhand
des Vorstrafenregisters

ZUSAMMENROTTEN
POLIZEI

POLIZEI
RENNEN

HERUMLUNGERN FLUCHEN

6 POLIZEIBEAMTE

berprfen den Verdachtsfall am jeweiligen Ort

5 INDECT benachrichtigt bei starkem Verdacht

die nchste Polizeistelle

sich und schauen gelegentlich weg, erklrt Kevin Macnish, der an

der University of Leeds zur berwachungsethik forscht. Das andere
Problem mit uns Menschen ist, dass wir zu Vorurteilen neigen. Folglich fokussieren wir unsere Aufmerksamkeit auf besonders attraktive Menschen oder solche, die in unserer Sicht am ehesten Terroristen sein knnten. Solch selektives Verhalten ist dem Rechner fremd,
er verdchtigt jeden gleichermaen und ist in dieser Hinsicht
sogar fairer. Andererseits haben wir einen gesunden Menschenverstand, der Computern fehlt und vielleicht immer fehlen wird,
sagt Macnish. Ein Beispiel: Zwei Menschen sind auf dem Bahnhof
unterwegs, einer stellt den Koffer ab, um eine Zeitung zu kaufen, der
andere wartet beim Koffer. Wo der Computer eine potenziell platzierte Kofferbombe sieht, wei der Beamte, dass der Koffer nicht
unbeobachtet abgestellt wurde und dass keine Gefahr droht. Zu erkennen, welche Personen zusammengehren und wer nur zufllig
in dieselbe Richtung geht wie andere, ist eines der grten und noch
ungelsten Probleme fr die Software-Analyse.

Vermehrter Einsatz trotz ungeklrter Fragen

Computer knnen also (noch) nicht ohne den Menschen, doch

das ist nur ein Problem der Indect-Idee. Ein anderes: Die massive
Datenerhebung auf ffentlichen Pltzen, im Internet oder im Zahlungsverkehr ist mit dem deutschen Datenschutzrecht unvereinbar. Allein die Gesichtserkennung und der damit verbundene
Verlust der Privatsphre sind grundrechtswidrig, sagt Netzpolitiker
Konstantin von Notz. Und wenn Teile der berwachung, etwa auf
Flughfen, von privaten Sicherheitsfirmen bernommen werden, verlsst man das vom Grundgesetz geschtzte Verhltnis vom Brger
zum Staat. Volker Mnch, der die Anti-Indect-Aktionen der Piratenpartei koordiniert, sieht daher fr Indect keine Zukunft in Deutschland, zumindest nicht ohne weitreichende Gesetzesnderungen.
Bereits Realitt ist die Rasterfahndung in Mobilfunkzellen. Daten
tausender Brger landen in Polizeidatenbanken, wenn Beamte die
Handydaten einer Funkzelle auswerten. Dazu reicht es schon, wenn
man zum Beispiel in der Nhe der Marschroute einer Demonstra-

FUNKZELLENANALYSE

In Funkzellen gespeicherte Daten zeigen, wer

sich wann in deren Nhe aufgehalten hat
1 HANDYS verbinden
sich auch im Stand-byModus automatisch mit
der nchsten Funkzelle

tion wohnt. So geschehen im Februar 2011 in Dresden, als Polizisten

bei einer Grodemonstration gegen einen Nazi-Aufmarsch die Telefonnummern smtlicher eingeschalteter Handys sowie die Daten
eingehender Anrufe und SMS erfassten, um polizeilich bekannte
Personen zu finden. Auch Hamburger Polizisten werteten im Vorjahr Funkzellendaten aus, um die Brandanschlge auf Autos in der
Hansestadt aufzuklren. Der Tter wurde anhand dieser Indizien gefasst allerdings nicht ohne dass dabei die Handynummer sowie die
Gertekennung (IMEI) tausender Brger mit abgegriffen wurden (siehe Infografik unten links). Diese automatische Standortmeldung
eines Telefons, dank der die Daten erhoben werden knnen, zhlt
nicht zu den schutzwrdigen persnlichen Daten, denn sie ist unabhngig von konkreten Anrufdaten.
Die sogenannten stillen SMS dagegen drfen Ermittler nur mit
richterlicher Erlaubnis einsetzen, um Verdchtige zu orten, deren Mobilnummer sie bereits kennen. Diese leere Nachricht enthlt einen
Steuerbefehl, der die Anzeige der SMS unterdrckt. Das Handysignal
knnen die Ermittler ber die Funkzelle eingrenzen (siehe Infografik
unten rechts). Zwischen 2006 und 2011 haben allein der BND und der
Verfassungsschutz rund 750.000 stille SMS versendet wobei bei
einem Ortungsvorgang gelegentlich Hunderte SMS verschickt werden, um die Bewegung eines Verdchtigen zu verfolgen.
Falsche Worte whlen, falsche Bewegungen machen, zur falschen
Zeit am falschen Ort sein im Netz der Ermittler ist es kaum noch
mglich, sich nicht verdchtig zu machen. Doch auch andere Lnder
allen voran die USA analysieren unser Verhalten. Das Swift-Abkommen etwa ermglicht es den USA, Bankdaten der Europer zu
berprfen, wenn sie Geld ins Nicht-EU-Ausland berweisen. Das
Fluggastdatenabkommen gibt einen Einblick in die bei der Flugbuchung angegebenen Daten der USA-Reisenden, die anschlieend
fnf Jahre gespeichert werden. Europische Innenminister wollen
dieses Modell sogar in der EU einfhren. Und dann sind da noch die
Geheimdienste und ihre Tools, die zeigen: Wer Kanonen hat, schiet
auch auf Spatzen und akzeptiert die permanente Verdchtigung
Unschuldiger als Kollateralschaden.

HANDYORTUNG

Mit stillen SMS knnen Behrden den ungefhren Aufenthaltsort

eines Handys feststellen und damit Verdchtige verfolgen

2 FUNKZELLE

speichert Telefonnummer
und Gerte-ID (IMEI)
aller aktiven Handys

POLIZEI

550 m
POLIZEI

BEHRDE kann Verdchtigen orten, indem sie

eine stille (unsichtbare)
SMS an ihn schickt

SIGNALLAUFZEIT

Ra d
3 BEHRDEN

knnen mit richterlicher

Erlaubnis beim Provider
die Daten einer
Funkzelle einsehen

DREI SIGNALKEGEL

der SMS bestimmt die

Distanz des Handys zum
Funkmast innerhalb
eines schmalen Korridors

ius:

der Funkantennen teilen

die Zelle und helfen bei
der Richtungsbestimmung

bis

zu 3

5 km

CHIP SICHERHEIT

13

AKTUELL

SO ZIEHT DIE CIA DIE

FDEN IM INTERNET

Hinter vielen groen Playern im Netz steht der

US-Geheimdienst CIA. Gemeinsam mit dubiosen
Investoren haben es die Spione geschafft, das
grte soziale Netzwerk der Welt zu unterwandern.
PENTAGON:
Das US-Verteidigungsministerium
beschftigte bis 2009 den
CIA-Investor Howard E. Cox

CIA:
Der US-Geheimdienst
hat ber strategische
Investitionen bei vielen
wichtigen IT-Firmen die
Finger im Spiel

Der CIA-Investor ist sowohl Manager

bei In-Q-Tel als auch Berater bei
Greylock Partners
IN-Q-TEL ist der Investment-Arm der CIA.
Die Firma frdert Start-ups, deren
Produkte die CIA gut gebrauchen kann

BILDERBERG-GRUPPE: Dieser
ominsen Versammlung
gehren einflussreiche
Persnlichkeiten an

GREYLOCK PARTNERS:
Die Investmentfirma mit CIAVerbindung finanzierte Facebook
2006 mit 27 Millionen Dollar

Die von der CIA finanzierte Firma

KEYHOLE produzierte die Software, die
heute als GOOGLE Earth bekannt ist

FACEBOOK: Das
grte soziale
Netzwerk der
Welt ist ber
Investoren mit der
CIA verbunden
PETER THIEL ist ein
Strippenzieher der IT-Welt:
Er sitzt im Facebook-Vorstand,
ist Mitgrnder von PayPal und
Spotify-Finanzier

14

CHIP WINDOWS
SICHERHEIT
8

PALANTIR
TECHNOLOGIES
visualisiert groe
Datenmengen.
Aufgebaut wurde
die Firma von
Peter Thiel, bezahlt
wird sie von der CIA

Die geheimen Mchte

im Internet

Geheimdienste, Investoren, Regierungen: Viele Strippenzieher hinter Facebook,

PayPal & Co. bleiben lieber im Verborgenen. CHIP bringt Licht ins Dunkel
VON BENJAMIN HARTLMAIER

F
FOTOS:
WEBER; MARTIN
MILLER; REUTERS/YURI GRIPAS
FOTO:
IANJULIANE
LISHMAN/JUICE
IMAGES/CORBIS

ast eine Milliarde Menschen posten bei Facebook mittlerweile, wen sie kennen, was ihnen gefllt, was sie gerne tun, welche Plne sie fr die Zukunft haben und was sie ber aktuelle
Entwicklungen in Politik und Gesellschaft denken. Das ist ein
Siebtel der Menschheit. Facebook besitzt also die grte Ansammlung privater Daten aller Zeiten und jeder Nutzer gibt diese
Daten freiwillig her. Vielen drfte inzwischen bewusst sein, dass
dies der eigentliche Preis ist, den sie fr das soziale Netzwerk und
andere Dienste im Netz bezahlen. Und solange Firmen wie Facebook und Google die exklusiven Informationen nur dazu nutzen,
individuell zugeschnittene Werbung zu produzieren, scheint dies
fr viele Nutzer ein angemessener Preis zu sein. Doch was, wenn es
nicht bei Werbung bliebe? Was, wenn die Facebook-Daten in die falschen Hnde gerieten? Zum Beispiel in die Hnde staatlicher Einrichtungen und Sicherheitsbehrden. Wrden die meisten Menschen einem Geheimdienst genauso freiwillig ber ihr Privatleben
berichten, wie sie es gegenber Facebook und Google tun? Wohl
kaum. Doch genau das geschieht bereits.

Die Facebook-CIA-Connection

Im April 2006, da war Facebook noch nicht mal zwei Jahre alt, erhielt
das Netzwerk eine Finanzspritze in Hhe von rund 27 Millionen
Dollar. Unter den Geldgebern war damals auch die Investmentfirma
Greylock Partners, die bis heute zu den Top-10-Aktionren von Facebook gehrt. Die Greylock Partners sind einflussreiche Geldgeber im
Silicon Valley: Neben Facebook haben sie unter anderem in Linked
In, Instagram und Dropbox investiert. Einer der erfahrensten Mitarbeiter bei Greylock ist Howard E. Cox. Er ist dort bereits seit mehr als
40 Jahren im Geschft. Seine langjhrige Ttigkeit als Investor macht
ihn zu einem alten Hasen im Business. Allein bei Greylock hatte er in
den letzten vier Jahrzehnten mehrere Aufsichtsratsposten inne. Cox
mag zwar schon etwas in die Jahre gekommen sein, unttig ist er
deshalb aber nicht: Heute arbeitet er als beratender Partner bei
Greylock. Cox war jedoch nie einfach nur Investor. Auch in die Politik
hat er beste Beziehungen: Bevor er zu Greylock kam, arbeitete Cox

im Bro des US-Verteidigungsministers und sa darber hinaus bis

2009 im Business Board des Pentagon.
Auch heute hat Cox mehrere Jobs: Neben seiner Ttigkeit bei
Greylock ist er Mitglied im Direktorium von In-Q-Tel, einer Firma,
die in Technologie-Start-ups investiert. Im Portfolio von In-Q-Tel finden sich junge, zumeist unbekannte Unternehmen wie Biomatrica,
Recorded Future oder T2 Biosystems. Neben den vielsagenden Namen und demselben Investor verbindet diese Firmen vor allem
eines: die Art ihrer Produkte. Sie alle stellen Technologien her, die
der US-Geheimdienst fr ntzlich hlt. Denn In-Q-Tel wurde von der
CIA gegrndet und agiert heute als ihr Investment-Arm. ber In-QTel betreiben die Geheimdienstler Outsourcing von Forschungsarbeit. Geschickte Investitionen erlauben es der CIA, mit der rapiden
technologischen Entwicklung mitzuhalten, ohne selbst eine Armada
von Wissenschaftlern beschftigen zu mssen. Ein prominentes Beispiel dafr, welche Art von Technologie die CIA ber In-Q-Tel frdert,
ist Google Earth. Die Software hinter dem Kartendienst wurde von
der Firma Keyhole programmiert, die vor der bernahme durch
Google von In-Q-Tel finanziert wurde. Durch den Verkauf an die
Suchmaschine besa die CIA-Firma eine Zeit lang Google-Aktien im
Wert von mehr als 2,2 Millionen Dollar.
Bei der Facebook-CIA-Connection gibt es zwar keine direkte finanzielle Verbindung wie zwischen In-Q-Tel und Google, doch es existiert
eine personelle Brcke, die das soziale Netzwerk mit dem Geheimdienst verbindet: Howard E. Cox. Er sitzt an einem strategisch wichtigen Punkt. Denn die CIA hat groes Interesse an den Daten der
Facebook-Nutzer und daraus machen die Geheimdienstler auch
gar keinen Hehl. In einer In-Q-Tel-Broschre heit es: Die berwachung von sozialen Medien wird fr Regierungen zunehmend zu
einem essenziellen Bestandteil, wenn es darum geht, aufkeimende
politische Bewegungen im Auge zu behalten.
Das heit im Klartext: Westliche Regierungen wollen sich nicht
von einer Facebook-Revolution wie dem Arabischen Frhling berraschen lassen. Denn dabei spielten soziale Netzwerke eine ebenso
zentrale Rolle wie bei der antikapitalistischen Protestbewegung

CHIP SICHERHEIT

15

AKTUELL

WEM GEHRT FACEBOOK?

Auf diese Frage lautet die Antwort meistens: Mark Zuckerberg.

Doch im Hintergrund gibt es diverse weitere Parteien, die bei der
Fhrung von Facebook ein Wrtchen mitzureden haben
Occupy. Um Strmungen wie Occupy effektiv berwachen zu knnen, bentigt man jedoch noch eine zweite Komponente Software,
mit der sich riesige Datenmengen wie die von Facebook gezielt verknpfen und visualisieren lassen. Auch dafr hat die CIA eine strategische Investition gettigt: Palantir Technologies, eine weitere Firma, die von In-Q-Tel mit Geld versorgt wird, stellt solch eine Software her (www.palantir.com). In einem Werbevideo zeigt Palantir
anhand eines fiktiven Lebensmittelskandals, was die Software alles
kann: Mit ihr lassen sich etwa unzhlige Daten wie Lieferscheine,
Kundenlisten, Kreditkarteninformationen oder Krankenakten aus
Kliniken zusammenfhren und auswerten. Die Seuche lsst sich so
schnell zu ihrem Ursprung zurckverfolgen und eine weitere Ausbreitung verhindern ein Muster, das sich genauso gut jedoch auch
auf Protestbewegungen bertragen lsst.

Die mchtigen Freunde des Mark Z.

Der Firmensitz von Palantir in Palo Alto ist gerade mal zehn Autominuten von der Facebook-Zentrale entfernt lediglich der Campus
der Stanford University trennt die beiden Gebude. Doch nicht nur
rumlich sind die Firmen nah beieinander. Noch strker ist die Verbindung durch eine Person, bei der im Silicon Valley viele Fden zusammenlaufen: Peter Thiel (siehe Grafik auf Seite 20). Der in Frankfurt am Main geborene Investor ist nicht nur Hauptgeldgeber und
Vorstandsvorsitzender von Palantir, sondern auch Mitglied im Vorstand von Facebook. Er war 2004 einer der Ersten, der das gerade gegrndete Unternehmen von Mark Zuckerberg mit Geld versorgte.
Gerade einmal zwei Monate nach Grndung des sozialen Netzwerks
bekam das junge Unternehmen von Thiel bereits eine halbe Million
Dollar. Heute ist Thiel eine der wenigen Einzelpersonen unter den
wichtigsten Facebook-Aktionren.
Thiels Einfluss reicht weit ber den Facebook-Vorstand hinaus.
ber seine Investmentfirma Founders Fund verhalf er Spotify zu einer Startfinanzierung von 11,6 Millionen Euro. Das Unternehmen ist
heute einer der weltweit fhrenden Musikstreaming-Anbieter. Der
erste groe Coup gelang Thiel jedoch ein paar Jahre vor dem Einstieg bei Spotify: 1998 grndete er mit einigen seiner StanfordKommilitonen den Online-Bezahldienst PayPal. Nach dem Verkauf
an eBay 2002 verlieen die meisten PayPal-Grndungsmitglieder
das Unternehmen. Mit den Erlsen aus dem eBay-Deal begannen sie
damit, ein Firmengeflecht aufzubauen, das sie mit gegenseitigen Finanzierungen sttzten. Diese Grndungsttigkeit brachte ihnen
den Namen PayPal-Mafia ein, ein Name, dem das Fortune Magazine
2007 mit einem Artikel zu grerer Bekanntheit verhalf. Eines der
Mitglieder der PayPal-Mafia Reid Hoffman ist heute bei Greylock Partners ttig, ebenso wie CIA-Investor Howard E. Cox.
Die PayPal-Mafia ist jedoch nicht die zwielichtigste Vereinigung,
der Peter Thiel angehrt. Er ist auch Mitglied im Lenkungsausschuss der
Bilderberg-Gruppe. Dieser Versammlung gehren hochrangige Vertreter aus Wirtschaft, Politik, Forschung und Medien an, die sich einmal im Jahr unter hchster Geheimhaltungsstufe in einem Luxushotel treffen, um die wichtigsten Probleme der Welt zu besprechen.
Die Gsteliste, eines der wenigen ffentlichen Dokumente der Gruppe,
offenbart, dass sich Thiels Verbindungen auch bei den Bilderbergern
widerspiegeln: So waren 2012 Persnlichkeiten wie PayPal-MafiaMitglied und LinkedIn-Mitgrnder Reid Hoffman von Greylock Partners, Alexander Karp, der CEO von Thiels Unternehmen Palantir,
und Googles Aufsichtsratsvorsitzender Eric Schmidt geladen.

16

CHIP SICHERHEIT

6,5 %
1,5 %
2,5 %

MARK ZUCKERBERG
FACEBOOK-ANGESTELLTE
ACCEL PARTNERS
DUSTIN MOSKOVITZ
DIGITAL SKY TECHNOLOGIES
EDUARDO SAVERIN
SEAN PARKER
GOLDMAN SACHS
PETER THIEL
GREYLOCK PARTNERS

2,8 %
4,0 %
28,2 %

5,0 %
5,5 %
7,6 %
11,4 %

25 %

REST

BILDERBERG-KONFERENZ 2013

654382

Auch beim diesjhrigen Treffen der Bilderberger Anfang Juni im

englischen Hertfordshire standen Peter Thiel, der Palantir-CEO
Alexander Karp und Google-Chef Eric Schmidt auf der Teilnehmerliste

Schnittstellen des
Geheimdienstes, wie
hier in einem Karlsruher Rechenzentrum,
nennt man in Providerkreisen Horchposten

Volltreffer! Das Angebot trifft mitten ins Schwarze.

Geld sparen und Prmie sichern!
Gleich bestellen: www.abo.chip.de/security

32 GB USB-Stick

eBook-Reader

Jetz
zugreift
en!

Autowerkzeug-Zubehr

12x CHIP lesen und

Prmie nach Wahl aussuchen!

Jetzt einfach bestellen: www.abo.chip.de/security

(Telefon) 0781-639 45 26
(E-Mail) abo@chip.de
313SA09P9 / 913SA09P14

AKTUELL

Die neuen Ziele der

Fr PCs optimierte Industrieviren, Hacking ber die Cloud und Attacken
auf Smart Grids die organisierte Cyberkriminalitt rstet aggressiv auf
VON CLAUDIO MLLER

ats Ratten. Mit diesem Wort zerstrt der Zauberknstler

Nevil Maskelyne im Juni die Illusion einer sicheren drahtlosen Kommunikation. Deren Erfinder Marconi und sein
Partner Fleming wollen dies demonstrieren, indem Marconi
eine Morsecode-Nachricht ber eine Distanz von 300 Meilen an den in London wartenden Fleming schickt. Maskelyne
kommt ihnen zuvor. Er hackt sich mit einem simplen Transmitter
in diese Verbindung und sendet seine eigene Nachricht: Rats. Eine
Rache an Marconi, der Patente zur Funkkommunikation hlt, die
Maskelyne auch nutzen will. Und ein Auftrag der Eastern Telegraph
Company, die ihr Geschft durch Marconis Erfindung bedroht sieht.
Das geschah 1903. Bis heute hat sich zwar die Technik verndert,
die Motive der Kriminellen jedoch nicht. Auch heute dringen Hacker
aus Rache in Systeme ein, auch heute verdingen sie sich bei zahlungswilligen Auftraggebern. Nur ihre Methoden sind raffinierter.
Die attraktivsten Ziele Grounternehmen, Banken, Regierungseinrichtungen schtzen sich, gern auch mit Untersttzung ehemaliger Hacker. Diese prfen deren Systeme und decken Schwachstellen auf, bevor ein Angreifer sie finden und ausnutzen kann. Und
auch die Schutzsoftware fr normale PCs blockt selbst unbekannte

PC

3,4

MOBIL
FOTO: NIKOLAUS SCHFFLER

SMART-HOME
INDUSTRIE
18

CHIP WINDOWS
SICHERHEIT
8

Millionen Rechner
werden 2012 weltweit
als Bots missbraucht

6.700

116

Mit der PC-Armee gegen Grokonzerne

Nach komplexen Exploitkits wie Blackhole und Bankingtrojanern

wie Citadel erwarten Experten fr die kommenden Monate die
nchste Entwicklungsstufe. Komponenten von Industrietrojanern
wie Stuxnet und Flame sollen demnach mit normaler Malware verschmelzen. Stefan Wesche von Symantec besttigt: Die von Stuxnet
& Co. ausgenutzten Sicherheitslcken tauchen als Exploits zunehmend in Malwarekits auf. Diese Exploits finden offene Schwachstellen in Windows oder in Anwendungen wie Java, um darber Schadcode einzuschleusen. Das knnte etwa ein Botnetz-Trojaner sein.
Diese missbrauchen PCs als Spamschleuder oder richten sie als Waffe gegen Unternehmen, ohne dass der User es merkt. Solche DDoSAngriffe (Distributed Denial of Service) schicken massenhaft Webanfragen an Unternehmensserver, bis die zusammenbrechen. Neu ist
das nicht, aber gerade bei politisch motivierten Gruppen nehmen

S. 20

Euro tglich verdienten

Botnetz-Betreiber
mit SMS-Trojanern

10,1

Malware meist zuverlssig ab. Doch wie bei fast jeder Form von Kriminalitt kann dieser Schutz nur reagieren. Die Maskelynes von
heute haben aber lngst ganz neue Methoden entwickelt und profitieren dabei unter anderem von Staatstrojanern wie Stuxnet.

S. 21

Millionen ungeschtzte
TV-Gerte sind potenzielle
Angriffsziele

Cyberangriffe
werden tglich
weltweit registriert

S. 23

S. 22

FOTO: IAN LISHMAN/JUICE IMAGES/CORBIS

hacker

CHIP SICHERHEIT

19

AKTUELL

Smartphone-Bots mit Tarnkappe

Etwa eine Milliarde Smartphones werden in diesem Jahr gekauft,

drei Viertel davon laufen mit Android. Ein System, das wegen fragwrdiger Updatepolitik und App-Stores, deren Betreiber die Apps
nicht auf Malware prfen, leicht angreifbar ist. Waffe Nummer eins
bleiben SMS-Trojaner. Die verschicken heimlich Kurznachrichten an
teure Premiumnummern, sodass Angreifer das Geld bequem ber
die Telefonrechnung erhalten. Wirklich lukrativ ist dieses Geschft,
wenn man viele Gerte in einem Botnetz zusammenschliet, wie Symantec herausfand: Das bis zu 30.000 Gerte umfassende Botnetz
Bmaster splte seinen Betreibern etwa 6.700 Euro tglich in die Kassen. Das sind knapp 2,5 Millionen Euro im Jahr.
Bislang tauchten solche Trojaner oft im Gewand harmloser Apps
auf. Wer die App deinstallierte, war den Trojaner meist los. Der Trojaner Obad ist subtiler. Er gelangt zwar auch ber infizierte Apps aus
Drittanbieter-Stores auf das Gert. Beim Start der App verlangt diese
aber Adminrechte, woraufhin sich Obad tief im System versteckt.
Die App kann man deinstallieren, Obad bleibt jedoch auf dem Gert.
Seinem Kontrollserver schickt Obad nun die Telefonnummer, die
MAC-Adresse und die Gertenummer (IMEI). Vom Server wiederum
erhlt er eine Liste mit Premium-SMS-Nummern. ber BluetoothVerbindungen infiziert er sogar andere Gerte und baut so ein ganzes
Botnetz auf. Damit vereint Obad deutlich mehr Schadfunktionen
als alle bislang bekannten Android-Trojaner, sagt Christian Funk,
Virenanalyst bei Kaspersky. Entfernen kann man Obad nur, indem
man das Telefon in den Auslieferungszustand zurcksetzt.
Der nchste fr Hacker interessante Aspekt von Mobilgerten ist
die przise Ortung per GPS und WLAN-Triangulation. Denn der Ort
des Gerts verrt meist auch den Aufenthaltsort des Besitzers ideal
zur Planung von Raubzgen. Hacker knnten die bertragung der
Ortungsdaten per Trojaner problemlos abhren. Vor allem Google
Maps und der krzlich von Google gekaufte Kartendienst Waze sind

20

CHIP SICHERHEIT

DER KAMPF GEGEN BOTNETZE

Werden Kontrollserver vom Netz genommen (wie im August 2012),

bricht die Gre der Botnetze ein doch meist erholen sie sich.
2.500.000

INFIZIERTE PCs

CUTWAIL
KHELIOS

2.000.000

SLENFBOT
FESTI

1.500.000

QUELLE: MCAFEE

MAAZBEN

1.000.000
500.000

JAN FEB MR APR MAI JUN JUL AUG SEP OKT NOV DEZ JAN FEB MR
2012
2013

MIT BOTNET-TROJANERN INFIZIERTE RECHNER

Nach dem Ende des Botnetzes BredoLab Ende 2010 sank die Zahl
der weltweit aktiven Bot-PCs, steigt nun aber langsam wieder an.
2010
2011
2012

= 4.500.000

= 3.100.000
= 3.400.000

SIMPLE TOOLS FR GROSSE ANGRIFFE

Mit kleinen Tools wie

RAILgun knnen Angreifer
massenhafte Webanfragen
an Server erzeugen
(DDoS-Angriffe) und
diese damit lahmlegen.

SICHER SURFEN MIT DEM CHIP-BROWSER

Mit dem CHIP-Sicherheitsbrowser (auf DVD ) surfen Sie im

Tor-Netzwerk anonym und geschtzt vor Angriffen aus dem Web.

AUSBLICK 2014

Neue dezentral gesteuerte Botnetze, aggressive Malware von

Erpressern sowie Angriffe ber die Cloud nehmen zu.
So schtzen Sie sich: Nutzen Sie einen aktuellen Virenschutz und
den CHIP-Sicherheitsbrowser. Dank integriertem Zugang zum
anonymen Tor-Netzwerk surfen Sie mit dem mobilen Browser
auf jedem Gert sicher vor Hackern und Spionen. Entpacken Sie
den Browser auf einen USB-Stick und starten Sie ihn von dort.

QUELLE: SYMANTEC

DDoS-Attacken wieder zu. Das Hackerkollektiv Anonymous etwa

setzt sie gern als Vergeltungswaffe ein, zuletzt Anfang des Jahres gegen die GEMA fr deren andauernde Blockierung von YouTube-Videos. Eine der bislang heftigsten DDoS-Attacken erlebte die Antispam-Organisation The Spamhaus Project (www.spamhaus.org) im
Mrz. Mit bis zu 85 GBit/s beschossen Angreifer deren Server, bis
zum Zusammenbruch. Das ist so, als wrde sekndlich ein zweistndiger HD-Film durch die Leitungen gepresst.
Botnetze sind im Prinzip groe Cloudsysteme. Nur, warum soll
man die als Angreifer selbst aufbauen? Es gibt ja genug legale, etwa
die Amazon Elastic Compute Cloud (EC2). Der Trend geht zur Nutzung
solcher Angebote. Die Ressourcen sind damit viel besser anpassbar,
und das rentiert sich vor allem bei rechenintensiven Angriffen. Komplizierte Passwortkombinationen lassen sich mit skalierbaren Clouddiensten relativ preiswert und schnell entschlsseln, sagt Martin
Dombrowski, IT Security Engineer beim Sicherheitsunternehmen Imperva. Leider gibt es fr Cloudanbieter aus Datenschutzgrnden nur
begrenzte Mglichkeiten, sich vor Missbrauch zu schtzen. Ein Sprecher der Amazon Web Services sagt: Wir berprfen die Inhalte der
Cloudinstanzen nicht. Immerhin: DDoS-Attacken sind ber die Cloud
kaum mglich. Ausgehende Angriffe blocken unsere manuellen und
automatischen Schutzsysteme ab, sagt der Amazon-Sprecher. Dafr
bleiben Botnetze also weiterhin erste Wahl auch wenn sie vielleicht
bald auf Telefone statt auf Computer setzen.

PC S & BOTNETZE

MOBILGERTE
5.000

180

4.500

160

4.000

140

3.500

120

3.000

100
80
60
40

2.500
2.000

VARIANTEN
STMME

1.500
1.000

20

500

JANUAR 2010

JANUAR 2012

JANUAR 2011

QUELLE: SYMANTEC

VARIANTEN

STMME

ANDROID-VERSIONEN UND IHRE LCKEN

Der Updateprozess von Android fhrt dazu, dass Millionen User

veraltete Systeme mit ungepatchten Sicherheitslcken nutzen.

NAME/VERSION LCKEN NUTZER

GINGERBREAD 2.3
ICE CREAM SANDWICH 4.0
JELLY BEAN 4.1
JELLY BEAN 4.2

11
6
3
3

= 17 Mio.

QUELLE: TREND MICRO

Anders sieht es bei den nchsten vernetzten Gerten aus: Smart-TVs

und intelligente Haussysteme. Die wenigsten Smart-TVs verfgen
ber wirkungsvolle Sicherheitsfunktionen. Manche Fehler berraschen uns, etwa unsichere Prfungen der SSL-Zertifikate bei der Datenbertragung, sagt Jens Heider, Leiter des Test Lab SecurITy beim
Fraunhofer SIT. Einige Hersteller konzentrieren sich offenbar mehr
auf die Funktionen als auf die Sicherheitsaspekte.
Wie leicht man solche Gerte aushebeln kann, zeigte Martin Herfurt, Sicherheitsberater bei n.runs. Fr seinen Angriff nutzte er die
HbbTV-Schnittstelle, die im laufenden Sendebetrieb Informationen
ber das aktuelle Programm anzeigt. Sobald man den Kanal wechselt, bermittelt das TV-Signal eine URL, die Daten von einem Server
abruft. Technisch gesehen ist die angezeigte Information eine bis auf
die Textzeile durchsichtige Webseite, die HTML- und JavaScript-Code
ausfhrt. Hacker knnten auf der Seite sogar ein Skript verstecken,
das Malware von einer anderen Seite nachldt, die anschlieend Gerte im Heimnetz ausspioniert. Keiner der von mir untersuchten
TV-Sender nutzt SSL-geschtzte Verbindungen fr HbbTV, sagt Herfurt. Angreifer knnten dort per Man-in-the-Middle-Angriff direkt
auf die bertragenen Daten zugreifen und diese verndern. Ein Angriff also, wie ihn schon Nevil Maskelyne vor 110 Jahren unternahm.
Aber warum macht man das? Wer die per HbbTV abgerufene
Website manipuliert, kann das TV-Bild mit einem eigenen Bild berdecken und so etwa falsche Informationen in Form eines Newstickers verbreiten. Dieser Information Warfare, also Krieg mit
(Fehl-)Informationen, hat lngst begonnen, wenn auch in einem anderen Medium. Am 23. April meldete der Twitter-Account der Nachrichtenagentur Associated Press: Breaking: Two Explosions in the
White House and Barack Obama is injured. Dieser vermeintliche
Anschlag auf das Weie Haus lste am wichtigsten US-Aktienindex,
dem Dow Jones Industrial, innerhalb weniger Minuten einen Kurseinbruch von einem Prozent aus. Auch wenn die Falschmeldung
schnell als solche identifiziert wurde, zeigt der Angriff die Kraft
selbst simpler Hacks wie den eines Twitter-Kontos.
Doch nicht nur die Fernseher werden angreifbarer, sondern das
ganze Haus. Man spricht vom Smart Home, es ist aber eher ein

200

= 288 Mio.
= 206 Mio.
= 196 Mio.

WIE GROSS IST DIE BEDROHUNG WIRKLICH?

Die Wahrscheinlichkeit, bei normaler Nutzung binnen einer Woche auf eine Android-Malware zu treffen, ist dort hher, wo AppStores von Drittanbietern hufiger genutzt werden, etwa in Indien.
INDIEN
DEUTSCHLAND

USA

QUELLE: LOOKOUT

Hackerbotschaften auf Smart-TVs

ENTWICKLUNG DER ANDROID-MALWARE

Die Zahl der Varianten pro Virenstamm nimmt zu, vermutlich, weil
die Angreifer mehr Zeit und Geld in die Entwicklung investieren.

= 5,5 %

2,4 %

1,7 %

ANDROID-GEFAHREN FR DEUTSCHE USER

Hierzulande ist die Wahrscheinlichkeit, sich mit spionierender

Adware und SMS-Trojanern zu infizieren, am grten.
ADWARE
SMS-TROJANER
BERWACHUNG
CHARGEWARE
SPYWARE

=
= 0,17 %

0,18 %

= 0,78 %

= 1,2 %
QUELLE: LOOKOUT

sehr unsicher. Tobias Jeske von der TU Hamburg-Harburg hat die

Dienste analysiert. Sein Urteil: Die Datenschutz- und Authentifizierungsanforderungen wurden sowohl beim Google- als auch beim
Waze-Protokoll mangelhaft umgesetzt. Auf der Hackerkonferenz
Black Hat Europe im Mrz zeigte Jeske zudem, wie man die EchtzeitGPS-Daten des Telefons manipulieren kann, die Google und Waze zur
Routenplanung nutzen. Diese sendet das Telefon zwar verschlsselt.
Doch ein Trojaner auf dem Gert knnte die Daten nicht nur auslesen, sondern vor der Verschlsselung verndern. Auf Android 4.0.4
demonstrierte Jeske, dass die falschen Verkehrsinfos einen Verkehrsstau anzeigen knnen, der gar nicht existiert. Hacker knnten so mit
wenig Aufwand ein Verkehrschaos auf Ausweichrouten erzeugen.
Bei solch neuen Angriffsoptionen stellen sich Cybergangster immer die Kosten-Nutzen-Frage: Komme ich leicht auf viele Gerte,
und kann ich damit Geld verdienen? Fr PCs lautet die Antwort: Ja.
Aber dort bewhrte simple Methoden wie Drive-by-Downloads,
die Websitebesuchern unbemerkt Malware unterjubeln, gibt es fr
Smartphones noch nicht. Drittanbieter-Stores bleiben der Hauptinfektionsweg, sagt Christian Funk von Kaspersky.

= 0,04 %

AUSBLICK 2014

Hochentwickelte Android-Trojaner wie Obad sind noch Einzelflle, aber der Trend geht klar hin zu solch komplexen Schdlingen.
Die Malware zu verbreiten, bleibt ein Problem fr die Angreifer.
Sie sind weiterhin angewiesen auf Drittanbieter-App-Stores.
So schtzen Sie sich: Installieren Sie Apps nur aus sicheren
Quellen (Play Store) und meiden Sie Drittanbieter-Stores.
Fr Vielnutzer lohnt sich zudem eine mobile Security Suite.

CHIP SICHERHEIT

21

AKTUELL

VERBREITUNG INTELLIGENTER FERNSEHER

Auch wenn nicht jeder Smart-TV mit dem Netz verbunden ist, wird
die Masse der Gerte allmhlich ein attraktives Angriffsziel.
ANZAHL DER SMART-TV-HAUSHALTE IN MIO. (DTL.)

20,1 MIO.
QUELLE: GOLDMEDIA

10,1 MIO.

4 MIO.

Blackout-Gefahr durch Smart Meter

22

CHIP SICHERHEIT

2010

2011

2012

2013

2014

2015

2016

EINFHRUNG DER SMART METER

In Lndern wie Italien sind intelligente Stromzhler schon flchendeckend im Einsatz viele dieser Gerte sind offen fr Angriffe.
FLCHENDECKEND

VORREITER

IMPLEMENTIERUNG DER GERTE

Italien
Spanien
UK

Finnland
Malta

Portugal
Niederlande
Tschechische Dnemark
Estland Norwegen Frankreich
Republik
Deutschland
Irland
Schweden
sterreich
Griechenland
Lettland
Belgien
Polen
Rumnien

NACHZGLER

Litauen
Slowakei
Zypern
NOCH NICHT
GESTARTET

Luxemburg Ungarn

KEINE GESETZE

GESETZGEBUNGSSTATUS

GESETZLICH
VERABSCHIEDET

FOLGEN EINES BLACKOUTS

Ein Hackerangriff auf das Stromnetz, etwa ber Smart Meter,

htte weitreichende Folgen denn ohne Strom geht fast nichts.
10
9
8

11 12 1

6 5

2
3
4

SOFORT

NACH
1 STUNDE

NACH
4 STUNDEN
NACH
724
STUNDEN

AUSFLLE
DigitaleFestnetztelefone
Router
InternetHaushaltsgerte
Heizungen Khlung von Lebensmitteln

Verkehrssignale
E-Zge
U-Bahnen
Straenbahnen
Warmwassersysteme

digitaler BehrMobilfunknetz in Stdten

denfunk BOS
Tankstellen
(Treibstoffpumpen)
Bahnschranken
Gas- und Wasserrestliche
(Bahnhfe, Hfen)
versorgung
Telefonnetze
medizinische Versorgung,
etwa Intensivstationen

AUSBLICK 2014

Vernetzte Infrastrukturen knnten Ziele fr Anschlge werden.

So schtzen Sie sich: Schalten Sie nicht bentigte Funkantennen
an Gerten ab. Achten Sie darauf, stets die aktuellen FirmwareUpdates fr Router und Fernseher zu installieren.

QUELLEN: ENERGIE-INSTITUT DER UNI LINZ;

BRO FR TECHNIKFOLGEN-ABSCHTZUNG
DES BUNDESTAGES

Einige EU-Lnder sind bei der Einfhrung der Smart Meter schon
sehr weit, doch gerade dort sehen Experten ein hohes Risiko. Die
Gerte der ersten und zweiten Generation wurden ohne Blick auf die
Sicherheit entwickelt, sagt Dr. Frank Umbach vom Center for European Security Strategies. Diese Gerte wurden massenhaft etwa in
Italien, Spanien und Portugal installiert. Auf der Gegenseite verwenden Netzbetreiber SCADA-Systeme zur Steuerung der Smart
Grids. Sptestens seit Stuxnet wei man aber, dass SCADA-Systeme
oft nur ber schwache Sicherheitsmechanismen verfgen.
Zwei Seiten mit groen Lcken ergeben einen gefhrlichen Mix.
Die Stromzhler kommunizieren direkt mit den Systemen der
Netzbetreiber, womit diese Systeme auch ber die Stromzhler angreifbar sind, sagt Frank Umbach. Ein solcher Angriff wre verheerend: Verkehrsnetze, Logistik, Nahrungsmittelzufuhr, medizinische
Versorgung und Kommunikationsnetze sind dabei nur die kritischsten Felder, denn betroffen ist im Prinzip jeder Lebensbereich.
Ein solcher Angriff setzt an zwischen Stromzhler und Netzzentrale, die entweder direkt ber das Stromnetz kommunizieren, was
sicher ist, oder per Funkverbindung. Und die ist riskant, weil die SCADA-Systeme oft angreifbare Funkstandards verwenden, wie Greg
Jones von der Sicherheitsfirma Digital Assurance herausfand. Werden die Daten und Steuerbefehle per Software Defined Radio (SDR)
bertragen, knnten Hacker sie mit einer Funkausrstung abhren
und am PC manipulieren. SDR moduliert die Funksignale nicht ber
Hardwarekomponenten, sondern digital ber integrierte Chips. Angriffe per Funkverbindung auf kritische Infrastrukturen werden in
den nchsten Jahren exponenziell zunehmen, sagt Jones. Und SDR
ermglicht Hackern, Teile dieser Netzwerke zu attackieren.
Deutsche Unternehmen sehen sich dafr gerstet. Die bertragung ber Powerline ist durch eine Verschlsselung vergleichbar
mit einem Passwort geschtzt. Bei der bertragung mittels Mobilfunk nutzen wir eine geschlossene VPN-Verbindung, sagt Wolfgang
Schley, Sprecher von RWE. Damit werden vergleichbare Sicherheitsstandards wie beim Online-Banking erreicht. Auerdem erarbeitet
das Bundesamt fr Sicherheit in der Informationstechnik (BSI) ein
Schutzprofil fr die Sicherheitsarchitektur der Netze. Es soll einen
Sicherheitsstandard fr alle Gerte und Anbieter schaffen. Wieviel
das ntzt, wenn in einem europaweiten Stromnetz an anderer Stelle
Lcken bleiben, ist jedoch sehr fraglich. Und selbst wenn es Sicherheitsstandards gbe, bestnde die Gefahr, dass die zwischen Verabschiedung und Implementierung schon lngst veraltet sind, sagt
Frank Umbach. Wie man auf die schnelle Entwicklung neuer Angriffsmethoden reagiert, ohne die Smart Meter alle zwei Jahre auszutauschen, ist momentan noch unklar.
Die Zukunftsaussichten der Stromnetze? Dster, sozusagen. Schon
2011 kam das Bro fr Technikfolgen-Abschtzung des Bundestages

QUELLE: SMARTREGIONS

Dangerous Home, denn auch dort gengt die Technik oft nicht einmal einfachsten Sicherheitsstandards. Ein Beispiel sind intelligente
Stromzhler (Smart Meter). Die bertragen Stromverbrauchsdaten
an die Netzbetreiber, die anhand dieser Daten ihre Netze steuern.
Solche Smart Grids verbinden Kraftwerke, Stromspeicher und Verbraucher. Die Nutzer sollen von der hheren Transparenz der Stromabrechnung profitieren und Geld sparen (was aufgrund der Kosten
fr die Gerte aber umstritten ist). Eine Wahl haben sie nicht, denn
die flchendeckende Einfhrung ist auf EU-Ebene beschlossen.

SMART-TV & SMART-HOME

INDUSTRIE & POLITIK

METHODEN BEI CYBERANGRIFFEN
HACKING

(Z. B. BER SOFTWARELCKEN)

40 %

(Z. B. TROJANER, BACKDOOR)

PHYSISCHER ZUGRIFF

(Z. B. USB-STICKS)

SOCIAL ENGINEERING

(Z. B. PHISHING)

= 13 %

MISSBRAUCH

Profihacker auf Spionagemission

(Z. B. VON NUTZERRECHTEN)

= 52 %

= 29 %

HACKINGATTACKEN IM DETAIL

Der bevorzugte Hackerweg bleibt, Zugangsdaten von Angestellten

zu klauen und dann Hintertren in deren Systeme zu installieren.

ZUGRIFF BER BACKDOOR

BRUTE FORCE

ANGRIFF AUF SQL-DATENBANK

ANDERE

8%

34 %

= 44 %

= 14 %

QUELLE: VERIZON

= 48 %

GESTOHLENE ZUGANGSDATEN

DIE WELTMARKTFHRER IM CYBERCRIME

Gemessen am Datentraffic starten fast die Hlfte der weltweiten Hackerattacken in China, doch auch die USA sind sehr aktiv.

45

41 %

36 %
4%
4 % 5 % 10 %

CHINA
USA
TRKEI
RUSSLAND
TAIWAN
SONSTIGE

QUELLE: AKAMAI

Angriffe auf Energienetze sowie auf andere Unternehmen oder politische Einrichtungen sind selten die Arbeit einzelner Hacker. Dahinter stecken professionelle Gruppen. Eine der derzeit aktivsten ist die
Elderwood-Gang. Die hat sich auf Zero-Day-Exploits spezialisiert, also Schadprogramme, die Sicherheitslcken ausnutzen, fr die es
noch keine Patches gibt. Die haben eine ganze Sammlung unbekannter Lcken auf Vorrat, von denen sie immer nur eine pro Angriff
verwenden, bis die Lcke bekannt wird, sagt Stefan Wesche von Symantec. Fr eigene Angriffe nehmen sie dann eine neue Lcke,
whrend sie die alte an andere Kriminelle weitergeben.
Wie solche Angriffe aussehen, zeigt eine weltweite CyberspionageAktion, die Kaspersky aufdeckte. Die Operation NetTraveler spionierte weltweit 350 Ziele in politischen und industriellen Einrichtungen aus, darunter Regierungsbehrden, Forschungsinstitute,
Energie- und Rstungskonzerne. Auch in Deutschland und sterreich
war NetTraveler aktiv. ber E-Mails mit manipulierten Word-Dokumenten im Anhang begann der Angriff. Wer die Dateien ffnete,
startete unwissentlich einen Exploit, der Office auf Sicherheitslcken
prfte. Waren die noch nicht gepatcht, installierte sich die Malware.
Dank Verbindungen zu mehreren Command-&-Control-Servern
konnte die Malware Informationen von den Rechnern versenden und
weitere Malware installieren. Kaspersky fand auf den Servern rund
22 GByte und vermutet, dass die Serverbetreiber einen Groteil der
gesammelten Daten bereits gelscht hatten. Dazu gehrten neben
Systemprotokollen, Tastaturaufzeichnungen und digitalen Konstruktionszeichnungen vor allem Office-Dokumente. Die Hintermnner solcher Angriffe interessieren sich fr sehr spezielle Informationen und suchen sich ihre Opfer genau aus, sagt Christian
Funk von Kaspersky. Dementsprechend werden die Angriffe sehr
zielgerichtet vorbereitet und durchgefhrt.
Die Identitten der Angreifer bleiben unbekannt. Immer wieder
gibt es Gerchte, dass wahlweise von der chinesischen, russischen
oder iranischen Regierung untersttzte Hacker Ziele in den USA, Europa oder Israel angreifen, um Daten ber Unternehmen oder Waffensysteme zu stehlen. Allein die NATO registrierte im vergangenen
Jahr etwa 2.500 Attacken auf die eigenen Systeme, davon monatlich
etwa zehn schwerwiegende. Doch auch westliche Nationen stehen
immer wieder im Verdacht, fr solche Hacks verantwortlich zu sein.
Das Geflecht der selbst ernannten Cyber Armies, Profi-Hackergruppen wie der Elderwood-Gang und staatlich eingesetzten Hackern
ist heute weniger denn je zu durchschauen. Das und die steigende
Qualitt der Angriffe bedeutet harte Zeiten fr Systemadministratoren und IT-Spezialisten, die die Systeme ihrer Arbeitgeber schtzen
mssen. Ganz zu schweigen von den Usern, die direkt (auf eigenen
Gerten) oder indirekt (bei Angriffen auf Infrastrukturen) betroffen
sind. Ein Nevil Maskelyne hingegen wrde sich in der an ein Rattennest erinnernden Cybercrime-Szene vermutlich gut aufgehoben fhlen und zahlreiche Auftraggeber finden.

=
= 35 %

MALWARE

QUELLE: VERIZON

Oft kombinieren Hacker mehrere Methoden bei einem Angriff,

daher ergibt die Summe hier mehr als 100 Prozent.

ZIELE DER CYBERSPIONE

Die von Kaspersky entdeckte Spionageoperation NetTraveler

war vor allem in politischen Einrichtungen auf der Jagd nach
Daten.
16 %

679

51 %

6%
7%
9%

11 %

AUSBLICK 2014

DIPLOMATIE/REGIERUNG
PRIVATNUTZER
MILITR
INDUSTRIE/INFRASTRUKTUR
LUFTFAHRT
ANDERE

QUELLE: KASPERSKY

zu dem Ergebnis: Insgesamt ist mit guten Grnden davon auszugehen, dass knftig die Ausfallwahrscheinlichkeit zunehmen wird.
Und auch Frank Umbach prognostiziert: Die Gefahr kaskadierender Blackouts nimmt zu. Noch gab es keinen erfolgreichen Angriff
doch schon heute werden Energienetzbetreiber erpresst, sagt
Frank Umbach. Die bislang geforderten Summen betragen insgesamt mehrere hundert Millionen US-Dollar weltweit.

Angriffe auf Unternehmen und Behrden werden immer

versierter. Vor allem auf die Zielsysteme mageschneiderte
Trojaner, die Virenscanner umgehen, nehmen zu.
So schtzt man sich: Unternehmen mssen ihre Rechner und
Webserver stets aktualisieren und Sicherheitslcken sofort
schlieen. Zudem sollten sie ihre Mitarbeiter auf mgliche
Social-Engineering-Angriffe vorbereiten.

CHIP SICHERHEIT

23

PC ABSICHERN

10

SicherheitsRegeln

Datenschutz fngt beim eigenen PC an.

Hier finden Sie die zehn wichtigsten
Sicherheits-Gebote, die Sie unbedingt
beachten sollten V O N A R T U R H O F F M A N N

1 Windows immer aktuell halten

Nahezu wchentlich entdecken findige Entwickler und versierte Hacker mehr oder minder gravierende Sicherheitslecks in den
verschiedenen Windows-Varianten. Der Hersteller reagiert darauf
mit Aktualisierungen, die jeweils am zweiten Dienstag eines Monats, dem sogenannten Patch Day, ber Windows Update zur Verfgung gestellt werden. Fr die PC-Sicherheit ist es unerlsslich, diese
Updates, Patches und Hotfixes sofort nach der Verffentlichung einzuspielen. In der Grundeinstellung ldt Windows die Aktualisierungen automatisch herunter und installiert sie. Es gibt aber auch die
Option, dass das Betriebssystem die Updates selbstndig herunterldt und Sie den Installationszeitpunkt selbst whlen knnen.
Unter Windows 7 ffnen Sie die Systemsteuerung, klicken auf
System und Sicherheit und entscheiden sich fr Windows Update. Klicken Sie in der linken Spalte auf den Link Einstellungen
ndern und ffnen Sie das Ausklappmen unter Wichtige Updates. Die einzigen beiden Einstellungen, die aus Sicherheitsgrnden in der Praxis sinnvoll sind, heien Updates automatisch installieren (empfohlen) und Updates herunterladen, aber Installation
manuell durchfhren. Ebenfalls in diesem Dialog sollten Sie die
Option Empfohlene Updates auf die gleiche Weise wie wichtige Updates bereitstellen aktivieren. Sind auf Ihrem PC weitere MicrosoftProgramme installiert, beispielsweise Office, steht Ihnen auch die

24

CHIP SICHERHEIT

Option Update fr Microsoft-Produkte beim Ausfhren von Windows Update bereitstellen und nach neuer optionaler MicrosoftSoftware suchen zur Verfgung.
hnlich einfach ist die Konfiguration der Update-Routine unter
Windows 8. ffnen Sie im Startbildschirm die seitliche Menleiste,
klicken Sie auf Einstellungen | PC-Einstellungen ndern und entscheiden Sie sich fr Aktualisierung & Wiederherstellung. Markieren Sie Windows Update und klicken Sie auf Installationsmethode fr Updates auswhlen. Im folgenden Dialog stehen Ihnen die
gleichen Optionen wie bei Windows 7 zur Verfgung.

2 Standardbenutzerkonto einrichten

Bei der Installation legt Windows automatisch ein Benutzerkonto an und stattet es mit Administratorrechten aus. Das Problem: Anwendungen, die ber das Admin-Konto gestartet werden, verfgen
ebenfalls ber uneingeschrnkte Zugriffsrechte, was Malware Tr
und Tor ffnet. Um sich davor zu schtzen, sollten Sie fr Ihre tgliche Arbeit ein Standardbenutzerkonto einrichten.
Unter Windows 7 ffnen Sie die Systemsteuerung und whlen
im Bereich Benutzerkonten und Jugendschutz den Eintrag Benutzerkonten hinzufgen / entfernen aus. Nach einem Klick auf
den Befehl Neues Konto erstellen tippen Sie den Kontonamen ein
und entscheiden, ob es sich um ein Standardbenutzerkonto oder
Administratorkonto handeln soll. Sie whlen Standardbenutzerkonto, da die mit diesem Konto verbundenen Rechte fr die tgliche Arbeit vllig ausreichend sind.
Nach einem Klick auf Konto erstellen legt Windows den neuen
Benutzer an. Danach klicken Sie auf das soeben eingerichtete Konto,
um ein Passwort festzulegen. Dazu klicken Sie im folgenden Dialog
in der linken Spalte auf den Eintrag Kennwort erstellen und tippen das gewnschte Passwort zweimal ein. Von dem ebenfalls in diesem Dialog angebotenen Kennworthinweis sollten Sie Abstand
nehmen, da diese Eselsbrcke von allen anderen Benutzern des

FOTO: ISTOCKPHOTO

rism, XKeyscore und die blichen Trojaner nebst Botnets

angesichts all der Schreckensmeldungen der letzten Wochen
und Monate kann es einem angst und bange werden. Dabei
ist der Weg zum sicheren PC gar nicht mal so kompliziert
wenn Sie unsere zehn goldenen Regeln befolgen. Denn damit
schtzen Sie Ihren Rechner nicht nur vor Malware und SpionageSoftware, sondern verhindern auch, dass Ihre persnlichen Dateien
und E-Mails in die Hnde Dritter gelangen. Zudem verschleiern Sie
Ihre Surfspuren, sodass Sie anonym im Web unterwegs sein knnen.

2 Benutzerkonto

Anstatt sich mit einem

Administratorkonto am
Windows-PC anzumelden,
sollten Sie aus Sicherheitsgrnden ausschlielich mit einem Standardbenutzerkonto arbeiten

1 Windows Update

Um neue Sicherheitslcken zu schlieen, verffentlicht Microsoft

einmal im Monat Updates fr seine aktuellen Betriebssysteme.
Diese Aktualisierungen sollten Sie unbedingt installieren

Rechners eingesehen werden kann. Abschlieend klicken Sie auf die

Schaltflche Kennwort erstellen.
Nutzen Sie Windows 8, aktivieren Sie im Startbildschirm die seitliche Menleiste und whlen Einstellungen | PC-Einstellungen ndern. Klicken Sie in der linken Spalte auf Konten | Weitere Konten, whlen Sie Benutzer hinzufgen aus und folgen Sie den Anweisungen des Assistenten. Wollen Sie das Benutzerkonto nicht mit
einem Microsoft-Online-Konto verknpfen, klicken Sie auf den Link
Ohne Microsoft-Konto anmelden (nicht empfohlen).

3 Nicht ohne Virenscanner arbeiten

Windows 8 ist das erste Microsoft-Betriebssystem, das mit einem integrierten Virenscanner ausgestattet ist. Allerdings ist Windows Defender, so der Name der Komponente, nicht mehr als ein
einfaches Tool, das lediglich rudimentren Schutz bietet. Der von
unserem CHIP-Testlabor durchgefhrte Vergleich von aktuellen Antiviren-Programmen belegt, dass vor allem die Erkennungsrate von
brandneuen Zero-Day-Schdlingen zu wnschen brig lsst. So erreichte Microsoft Security Essentials (seit Windows 8 im Windows
Defender integriert) nur eine Malware-Erkennung von 63 Prozent.
Mehr zum Windows-Schutz lesen Sie im Beitrag ab Seite 52.
Anwender, die keinerlei Kompromisse eingehen wollen und auch
bereit sind, Geld zu investieren, statten ihren Rechner dagegen mit
einer ausgewachsenen Anti-Virus-Lsung aus. Fr welches Produkt
Sie sich letztlich entscheiden, hngt aber nicht nur von der Erkennungsrate und dem Preis ab. Auch Faktoren wie Usability, Performance und weiterfhrende Funktionen spielen in der Praxis eine
groe Rolle. Welche Security-Suiten im CHIP-Test am besten abgeschnitten haben, erfahren Sie in unserem Test ab Seite 30.

3 Windows Defender

Dass Microsoft in Windows 8 erstmals eine Antiviren-Software

integriert hat, ist begrenswert. Allerdings lsst der Funktionsumfang des Windows Defenders zu wnschen brig

4 Firewall

In puncto Schutzfunktion
gibt es an den beiden in
Windows integrierten
Firewalls nichts zu beanstanden. Allerdings
mangelt es ihnen an weiterfhrenden Funktionen

4 Desktop-Firewall verwenden

Was fr Virenscanner gilt, lsst sich auch ber die Firewall sagen: Die beiden Desktop-Firewalls, die in Windows 7 und Windows 8
integriert sind, bieten nur einen rudimentren Schutz vor Angriffen
aus dem Internet und verhindern, dass auf dem PC installierte Anwendungen ungefragt mit der Auenwelt kommunizieren (siehe
auch Seite 54). Anwender, die Wert auf weiterfhrende Funktionen
legen, etwa um in Webseiten eingebundene Banner zu blocken, sollten sich fr eine Software eines Drittherstellers entscheiden.

5 Mit einem sicheren Browser surfen

Da der Internet Explorer fest im Windows-Betriebssystem verankert ist, greifen viele Nutzer aus Bequemlichkeit zum Microsoft-

Browser. Dabei lassen die Security-Funktionen des Internet Explorers ziemlich zu wnschen brig, wie die immer wieder verffentlichten Sicherheitswarnungen zeigen. Um sich davor zu schtzen,
gengt es, knftig mit einem anderen Browser zu surfen. An erster
Stelle unserer Empfehlungen steht Mozilla Firefox, eine quelloffene
Software, die sich mit teils kostenlosen Erweiterungen zur Hochsicherheitszentrale aufrsten lsst. Gute Dienste leistet zwar auch
Google Chrome. Da dieser Browser aber versucht, das Surfverhalten
des Anwenders zu protokollieren, sollten Sie unbedingt auch die

CHIP SICHERHEIT

25

PC ABSICHERN

Vollversion von GoogleClean (Software auf DVD ) auf Ihrem Rechner

installieren, um Chrome das Spionieren auszutreiben. Wie Sie dieses
Tool einrichten, lesen Sie ab Seite 40.
Noch einen Schritt weiter geht der Tor-Browser, der nicht nur auf
maximale Sicherheit getrimmt ist, sondern die Datenpakete auch
noch verschlsselt und ber mehrere Server leitet, sodass Ihre
IP-Adresse verschleiert wird. Ab Seite 64 erfahren Sie, wie Sie dieses
kostenlose Programm in der Praxis nutzen.

6 Dateien und Ordner verschlsseln

Zu den groen Vorteilen des NTFS-Dateisystems, das alle Windows-Betriebssysteme untersttzen, gehrt die Funktion, Dateien
und Ordner zu verschlsseln. Mglich macht es das Encrypting File
System (EFS), eine Routine, die auf Dateiebene arbeitet. Auf diese Art
und Weise verschlsselte Elemente lassen sich nicht von anderen
Personen ffnen unabhngig von deren Benutzerrechten. Das Verschlsseln von Dateien und Ordnern ist kinderleicht, allerdings sind
dazu Administratorrechte erforderlich.
Klicken Sie im Windows Explorer das zu verschlsselnde Element
mit der rechten Maustaste an und whlen Sie den Befehl Eigenschaften. Gehen Sie auf die Registerkarte Allgemein und klicken
Sie im Bereich Attribute auf Erweitert. Im Abschnitt Komprimierungs- und Verschlsselungsattribute aktivieren Sie die Option
Inhalt verschlsseln, um Daten zu schtzen und schlieen dann
die Dialoge mit Klicks auf OK.
Windows macht Sie nun darauf aufmerksam, dass Sie die Verschlsselungsattribute gendert haben, und will wissen, ob nur dieses eine Element verschlsselt werden soll oder ob die nderungen
auch fr alle unter- beziehungsweise bergeordneten Dateien und
Ordner gelten sollen. Markieren Sie die gewnschte Option und
besttigen Sie dann mit OK. Verschlsselte Dateien und Ordner
erkennen Sie im Windows Explorer brigens auf einen Blick an
ihren grngefrbten Bezeichnungen.
In diesem Zusammenhang ist interessant, dass sich EFS-verschlsselte Dateien von anderen Benutzern verwenden lassen,
sofern die Person, die diese Elemente verschlsselt hat, es gestattet.
Dies ist beispielsweise dann sinnvoll, wenn auf dem FamilienRechner gespeicherte Dokumente nicht nur von den Eltern geffnet
werden drfen. Voraussetzung dafr ist, dass der andere Benutzer
bereits im Besitz eines eigenen Zertifikats ist. Um einer anderen Person den Zugriff zu ermglichen, klicken Sie das Element mit der
rechten Maustaste an, whlen Eigenschaften und entscheiden
sich auf der Registerkarte Allgemein fr Erweitert. Im folgenden
Dialog klicken Sie auf Details und whlen ber Hinzufgen den
Benutzer aus, der ebenfalls Zugriff auf diese Datei erhalten soll.

7 E-Mails verschlsseln

Das A und O der E-Mail-Sicherheit ist das Verschlsseln der versendeten Nachrichten. Denn nur wenn Sie Ihre E-Mails mit einer
Software wie GNU Privacy Guard for Windows (Gpg4win, auf DVD )
verschlsseln, ist garantiert, dass weder Geheimdienste noch andere
Unbefugte den Inhalt Ihrer digitalen Nachrichten lesen knnen.
Kompliziert ist das nicht. Allerdings ist es dazu erforderlich, dass
Ihre Kommunikationspartner ebenfalls Gpg4win einsetzen, da sie
Ihre verschlsselten E-Mails ansonsten nicht dechiffrieren knnen.
Mehr Informationen dazu, wie Sie die Software in der Praxis einsetzen, finden Sie ab Seite 60.

26

CHIP SICHERHEIT

5 Nicht mit dem Internet Explorer surfen

Da der Internet Explorer immer wieder durch Sicherheitslcken

auffllt, sollten Sie mit Mozilla Firefox oder Google Chrome surfen

6 Dateien und Ordner verschlsseln

Sind Ihre Festplatten mit dem NTFS-Dateisystem formatiert, sollten

Sie die Windows-Verschlsselungsfunktion nutzen

8 Ohne Mithrer chatten

Anwender, die gerne mit Freunden chatten, sollten die gngigen

Instant Messenger auen vor lassen und sich fr den sicheren
Cryptocat-Chat entscheiden. Der groe Vorteil dieser guten Alternative zu den gngigen Instant Messengern: Sie brauchen keine zustzliche Software zu installieren, da die Chats direkt im Browser
ablaufen. Untersttzt werden Mozilla Firefox, Google Chrome und
Apple Safari. Details zum Cryptocat-Service lesen Sie ab Seite 62.

9 IP-Adresse im Web verschleiern

Beim Surfen im Internet hinterlassen Sie so viele Spuren, dass es

nahezu ein Kinderspiel ist, ein detailliertes Bewegungsprofil von Ihren Surf-Ausflgen anzulegen. Zum einen wird Ihre IP-Adresse in
den Logdateien aller besuchten Server gespeichert. Zum anderen legen nahezu alle Webseiten Cookies auf Ihrem Rechner ab, in denen
festgehalten ist, zu welchem Zeitpunkt Sie eine Seite besucht haben.
Um sich vor dieser Form der Dauerberwachung zu schtzen,
sollten Sie ber eine VPN-Verbindung online gehen. Denn dann sind
Sie nicht mit Ihrer echten IP-Adresse, sondern mit derjenigen des
VPN-Anbieters im Internet unterwegs. Das Problem: Um dabei noch

TIPP
WLAN-ROUTER ABSICHERN

Immer wieder machen Meldungen die Runde, dass von

Providern zur Verfgung gestellte WLAN-Router gravierende
Sicherheitslcken aufweisen, die es Unbefugten ermglichen,
in das Funknetz einzudringen. Anfang August standen etwa die
Modelle Vodafone EasyBox 802 und 803 im Fokus. Um sich
davor zu schtzen, sollten Sie in regelmigen Abstnden
berprfen, ob eine Firmware-Aktualisierung fr Ihren Router
zur Verfgung steht. Wichtig ist aber auch, dass Sie den Zugang
zu Ihrem WLAN mit einem starken Passwort sichern, die
unknackbare WPA2-Verschlsselung aktivieren und den Internetzugriff auf die Router-Konfigurationsmaske einschrnken.
Nicht schaden kann es, die bertragung der SSID zu unterbinden und die MAC-Adressen-Filterung einzuschalten.

7 E-Mails verschlsseln

Damit kein Unbefugter Ihre E-Mails lesen kann, verschlsseln Sie

Ihre Nachrichten mit dem kostenlosen Tool Gpg4win

Aber sicher

Auch die Firmware

von WLAN-Routern
sollten Sie in regelmigen Abstnden
aktualisieren

8 Sicher chatten mit Cryptocat

Nach dem Einspielen eines Add-ons chatten Sie mit Firefox, Chrome
und Safari sicher, denn die Kommunikation wird verschlsselt

mit einer akzeptablen Geschwindigkeit surfen zu knnen, fhrt

kaum ein Weg an einem kommerziellen VPN-Anbieter wie Goldenfrog (siehe Seite 56), Hide my Ass (www.hidemyass.com/vpn) oder
VPNTunnel (www.vpntunnel.com) vorbei. Sechs Monate lang unerkannt im Web surfen knnen Sie aber auch mit der CHIP-Vollversion
von Steganos Online Shield 365. Wie Sie die Software einrichten,
lesen Sie im Workshop ab Seite 36.

10 Gesunde Skepsis walten lassen

9 Dank VPN unter falscher Flagge surfen

Sind Sie ber einen VPN-Anbieter im Web unterwegs oder nutzen

Sie die CHIP-Vollversion von Steganos Online Shield 365, bleibt Ihre
echte IP-Adresse den Datenschnfflern verborgen

Verraten Sie einem wildfremden Menschen, der Sie auf der

Strae anspricht, Ihre Adresse? Glauben Sie anonymen Anrufern,
die Ihnen nach Bekanntgabe Ihrer Bankverbindung einen Millionengewinn versprechen? Wrden Sie einen Kuchen, der von Unbekannten vor Ihrer Haustre abgelegt wurde, essen? Mit Sicherheit
nicht. Was im richtigen Leben gilt, lsst sich auch auf das Internet
bertragen: Ein gewisses Ma an Skepsis schtzt den eigenen PC
besser als jede Security Suite. Das beginnt damit, dass man bei Facebook & Co. keinerlei persnliche Informationen verffentlicht. Ein
zweiter wichtiger Punkt ist der vorsichtige Umgang mit E-Mails und
Dateianhngen, die von Unbekannten stammen; eigentlich selbstverstndlich sollte sein, dass man keinerlei Software aus unbekannten Quellen installiert, etwa weil ein Banner auf einer Webseite auf
eine vermeintlich auf dem PC entdeckte Sicherheitslcke hinweist.

CHIP SICHERHEIT

27

PC ABSICHERN

Computer
absichern
in 10 Minuten
Gefahren drohen nicht nur aus
dem Internet. Auch der lokale
Zugriff auf den Computer stellt in
der Praxis ein Sicherheitsrisiko
dar. Wir zeigen Ihnen, welche
Schutzmanahmen Sie ergreifen
knnen V O N H A N S B R

So gehts

In zehn Minuten zum sicheren PC

nur mit Anmeldebildschirm arbeiten Windows lsst sich so kon-

figurieren, dass die Anmeldung auch ohne Eingabe des Benutzerpasswortes mglich ist. Das ist aber nur dann sinnvoll, wenn Sie
der einzige Nutzer eines Computers sind und sich das Eintippen des
Kennworts ersparen wollen. Ist dem nicht so, sollten Sie das System
so einrichten, dass sich andere Benutzer nach dem Drcken der
Tastenkombination [Strg]+[Alt]+[Entf] authentifizieren mssen.

28

CHIP SICHERHEIT

Unter Windows 7 klicken Sie auf Start |Alle Programme | Zubehr |

Eingabeaufforderung. Nutzen Sie Windows 8, rufen Sie die Suchfunktion auf, geben cmd ein und klicken auf Eingabeaufforderung. Auf der Kommandozeile tippen Sie den Befehl control userpasswords2 ein und besttigen mit der Eingabetaste. Im daraufhin
angezeigten Dialog Benutzerkonten bringen Sie die Registerkarte
Erweitert nach vorne und aktivieren unter Sichere Anmeldung
die Option Strg+Alt+Entf drcken ist fr die Anmeldung erforderlich. Speichern Sie die nderung mit OK.
Knftig mssen alle Anwender nach dem Hochfahren des Computers diese Tastenkombination drcken und ihr Passwort eingeben, um sich am System anzumelden.

Zugriff auf die Systemsteuerung unterbinden Auch von einem

eingeschrnkten Benutzerkonto aus lassen sich zahlreiche Systemeinstellungen ndern. Das ist lstig, wenn man als Administrator den PC mit anderen Personen teilen muss. Allerdings knnen
Sie verhindern, dass Unbefugte die Systemeinstellungen verndern
drfen. Zwar lassen sich auch einzelne Aktionen verbieten, einfacher ist es aber, den Zugriff auf die Systemsteuerung komplett zu
unterbinden. Dafr sorgt ein Eintrag in der Registry. Melden Sie sich
am eingeschrnkten Benutzerkonto an. ffnen Sie wie im vorigen

FOTO: ISTOCKPHOTO

ie zehn wichtigsten Manahmen zum Schutz Ihres PCs haben wir Ihnen im vorigen Beitrag im Detail vorgestellt. In
diesem Blitz-Workshop zeigen wir Ihnen, wie Sie Ihren Computer schon in wenigen Minuten absichern. Dabei gehen wir
nicht nur auf die Manahmen ein, die Sie ergreifen knnen,
um Unbefugten den Zugriff auf Ihren Rechner zu erschweren. Wir
verraten Ihnen auch, wie Sie anderen Usern den Aufruf von Systemkomponenten verbieten, wie Sie das Betriebssystem am schnellsten
aktualisieren, warum es wichtig ist, eine Komplettsicherung anzulegen und was es mit den Gruppenrichtlinien, die Bestandteil der
greren Windows-Versionen sind, auf sich hat.

TIPP
PASSWORT NACH STANDBY

Schritt beschrieben die Eingabeaufforderung, geben Sie den Befehl

regedit ein und drcken Sie die Eingabetaste. Besttigen Sie die
folgende Nachfrage der Benutzerkontensteuerung mit Ja.
Im Registry-Editor navigieren Sie zum Schlssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Sollte der Unterschlssel Explorer noch nicht vorhanden sein, erzeugen Sie ihn mit Klicks auf Bearbeiten | Neu |
Schlssel. Anschlieend klicken Sie in den rechten Fensterbereich
und whlen Bearbeiten | Neu | DWORD-Wert (32-Bit). Als Bezeichnung geben Sie NoControlPanel ein und drcken die Eingabetaste. Danach klicken Sie doppelt auf den neuen Eintrag und ndern
seinen Wert auf 1. Besttigen Sie Ihre Eingabe mit OK und
schlieen Sie die Registry.
Die Sperre der Systemsteuerung ist ab sofort wirksam. Knftig
kann ein Benutzer des Computers die Systemsteuerung nicht mehr
ffnen. Stattdessen erhlt er einen Hinweis zu den bestehenden Einschrnkungen. Diese Sperre unterdrckt auerdem den Befehl Eigenschaften im Kontextmen einiger Elemente.

System auf den aktuellsten Stand bringen Gerade nach einer

Komplettsicherung des Computers anlegen Ein Hardware-Risi-

Nicht nur am Arbeitsplatz ist es ein Sicherheitsrisiko, den PC

im Standby unbeaufsichtigt zu lassen sofern der Computer so
konfiguriert ist, dass nach dem Aufwachen keine Kennworteingabe erforderlich ist. Um diese Einstellung zu berprfen, whlen Sie in der Systemsteuerung den Eintrag Energieoptionen.
Klicken Sie in der linken Spalte auf Kennwort bei Reaktivierung anfordern und aktivieren Sie unter Kennworteingabe
bei Reaktivierung den Befehl Kennwort ist erforderlich
(empfohlen). Schlieen Sie den Dialog mit einem Klick auf
nderungen speichern. Und ber Zeitpunkt fr das Ausschalten des Bildschirms festlegen geben Sie an, nach wie
vielen Minuten Unttigkeit der Monitor abschalten soll.

Neuinstallation ist Windows anfllig fr viele Gefahren. Denn

aufgrund fehlender Updates lassen sich zu diesem Zeitpunkt Security-Lcken in verschiedenen Windows-Funktionen ausnutzen.
Oberstes Gebot ist also ein topaktuelles Betriebssystem. Allerdings
nimmt der Download aller bisherigen Updates viel Zeit in Anspruch.
Schneller aktualisieren Sie Ihr System mit den Patch-Sammlungen
Winfuture Update Packs (http://winfuture.de/UpdatePack), die fr
Windows XP, Vista, 7 und 8 zur Verfgung stehen. Damit Windows
danach auf dem neuesten Stand bleibt, mssen neue Updates automatisch heruntergeladen werden. Dies regeln Sie ber Windows
Update und den Link Einstellungen ndern.

ko kann keine Software ausschlieen: den Festplatten-Crash.

Deshalb ist es sinnvoll, regelmig das komplette System auf einen
externen Datentrger zu sichern. Am besten investieren Sie noch
ein paar Euro in eine groe externe Festplatte. Das ntige Tool zum
Backup bringt Windows 7 selbst mit. Suchen Sie im Startmen nach
Sichern und wiederherstellen und klicken Sie am linken Fensterrand auf Systemabbild erstellen. Dort geben Sie die externe Festplatte als Speicherort fr das Backup an. Im zweiten Schritt whlen
Sie die zu sichernden Partitionen. Nach der Sicherung knnen Sie
entscheiden, ob Sie zustzlich einen Reparaturdatentrger anlegen
wollen. Um im Ernstfall auf das Abbild zurckzugreifen, booten Sie
entweder von diesem Datentrger oder drcken whrend des Starts
die Taste [F8], um die Reparaturkonsole zu ffnen. Alternativ knnen Sie unter Windows 7 und 8 aber auch eine Software wie True
Image 2013 (www.acronis.de, ca. 50 Euro) nutzen.

Mehr Sicherheit gewinnen mit Gruppenrichtlinien Windows 7

Ultimate und Windows 8 Pro lassen sich auch mit Gruppenrichtlinien konfigurieren. Damit knnen Sie unter anderem Systemsteuerungssymbole ausblenden, den Task-Manager deaktivieren oder
unter Windows 8 den Zugriff auf den Windows Store unterbinden.
Um den Editor fr lokale Gruppenrichtlinien zu starten, whlen
Sie Ausfhren und geben gpedit.msc ein. Die Gruppenrichtlinien lassen sich fr einzelne User oder das Gesamtsystem anpassen.

CHIP SICHERHEIT

29

PC ABSICHERN

Im Hrtetest:
Security-Suiten

atenbackup, PC-Tuning, ein verschlsselter Dokumentensafe, Kinderschutz, Dateishredder oder ein sicherer Browser frs Onlinebanking Virenschutzprogramme sind
lngst Allzweckwerkzeuge, die Jahr fr Jahr neue Extras
spendiert bekommen. Der eigentliche Zweck der SecuritySuiten besteht allerdings darin, den Rechner effektiv vor MalwareAttacken zu schtzen. Welche Virenschutzprogramme das wie gut
knnen, haben wir zusammen mit dem Testlabor des AV-Test-Instituts geprft. Das Testfeld umfasst zwlf kostenpflichtige und
kostenlose Suiten und beim Anbieter AVG sogar beide Versionen.
Die schwerste Aufgabe ist das Abblocken von Viren und Trojanern, die die Hersteller der Security-Suiten noch nicht kennen. Die
laut AV-Test tglich bis zu 100.000 neuen Malware-Varianten sind

30

CHIP SICHERHEIT

oft das Ergebnis sogenannter Exploit-Kits. Mit diesen simpel zu bedienenden Malware-Bauksten kann sich jeder seinen eigenen Trojaner zusammenklicken, der zum Beispiel Passwrter ausliest und
an den Angreifer sendet. Der Marktfhrer, das Exploit-Kit Blackhole,
wird seit 2010 kontinuierlich weiterentwickelt, seine Datenbank
ber Software-Sicherheitslcken stndig aktualisiert. Dazu kommen
neue Varianten der Banking-Trojaner ZeuS und SpyEye sowie BKATrojaner, die Rechner kapern und nur gegen Lsegeld freigeben.

Abwehrriegel gegen unbekannte Viren

Zur Abwehr dieser Malware setzen Security-Suiten auf ihre bewhrte

Fnferkette: URL-Filter, Firewall, verhaltens- und cloudbasierte Erkennung sowie Virensignaturen. Whrend Signaturen und URL-Filter

FOTO: NIKOLAUS SCHFFLER

Wer seinen PC vor hinterhltigen Malware-Attacken schtzen will, kann sich nicht
immer auf namhafte Programme verlassen
VON CLAUDIO MLLER

VIRENSCHUTZ IM TEST

vor allem bekannte Gefahren abblocken, sind die Verhaltensanalyse

unbekannter Dateien und die schnelle Verbindung zum gesammelten Wissen der Cloudserver entscheidend fr den Schutz vor neuen
Angriffen. Die Testergebnisse der letzten Jahre zeigen bei dieser
Technologie eine kontinuierliche Verbesserung: Erkannten Schutzprogramme vor drei Jahren im Schnitt nur rund 70 Prozent der unbekannten Angreifer, sind es heute oft mehr als 90 Prozent. Die genauen Messwerte finden Sie in der Tabelle auf der nchsten Seite.
In unserem Test blockten BitDefender und F-Secure als Einzige
fehlerlos jede unbekannte Malware ab. Doch auch andere berzeugten mit mehr als 98 Prozent. Ein negativer Ausreier war Microsofts Security Essentials, der jede dritte Attacke bersah. In Windows
8 gehrt der Scanner zur Grundausstattung. Da er im Test abgeschlagen auf dem letzten Platz landete, sollten Sie ihn bei grerem
Sicherheitsbedarf durch ein separates Programm ersetzen. Bis auf
die Suiten von Avira und Norman liefen alle Virenwchter zum Start
von Windows 8 auf dem neuen Betriebssystem.
Kostenlose Programme schtzen insgesamt einen Tick schlechter
als Kaufsoftware. Das Beispiel AVG (auf DVD)zeigt jedoch, dass die Unterschiede zur Kaufversion minimal sind. Dank besserer Performance landet das Gratistool in unserem Test sogar vor der Kaufvariante. Fr eine negative berraschung sorgte Norton Internet Security. Vor allem die lckenhafte Systembereinigung enttuschte: Norton
konnte sechs von 34 Schdlingen nicht entfernen. Nachdem Symantec in den vergangenen Jahren kontinuierlich die Systembelastung
seiner Suite minimiert hatte, um vom PC-Bremser-Image wegzukommen, wird es nun Zeit, sich wieder strker auf den Malware-Schutz zu
besinnen. Andere subern infizierte PCs deutlich effektiver. Besonders BitDefender, Avira und AVG berzeugen bei dieser Aufgabe. Keine Hilfe im Ernstfall ist der kostenlose Cloudwchter von Panda.

Den Rechner schtzen, ohne zu bremsen

Ein mglichst lckenloser Schutz ist bei der stndig zunehmenden

Malware-Bedrohung immens wichtig. Er sollte jedoch nicht das System ausbremsen. Ein guter Kompromiss ist schwierig. Mit dem Gratisscanner von Microsoft etwa ldt man Dateien ohne Verzgerung
aus dem Web weil das Programm die Downloads gar nicht prft.
Die einfachen Schutzprogramme von Microsoft und Panda liegen
daher in der Performance-Wertung weit vorn. Doch was ntzt das
ohne guten Schutz? Wie es besser geht, zeigt Testsieger F-Secure:
Trotz eines hervorragenden Schutzsystems belastet er den Rechner
nur minimal. Lediglich die Windows-Startzeit verzgert F-Secure
etwas strker als die Konkurrenz. Insgesamt liegen die Suiten in der
Performance nah beieinander. Ausreier wie Eset, das die Downloadzeit einer Testdatei fast verdreifachte, sind die Ausnahme.
Bei der Wahl der richtigen Security-Suite lohnt sich daher auch
der Blick auf die Zusatzfunktionen. Beispiel Onlinebanking: BitDefender startet beispielsweise einen sicheren Browser fr den Besuch
auf der Bankseite. Diese Sandbox-Umgebung ist zwar etwas unkomfortabel, da man keinen Zugriff mehr auf die Windows-Oberflche
und andere Programme hat, aber zumindest ist sie weitestgehend
sicher. Kaspersky bietet zudem einen Exploit-Schutz, der Windows
und die installierten Programme auf offene Sicherheitslcken untersucht. Trend Micro etwa kmmert sich um unsichere Privatsphre-Einstellungen auf Facebook. Diese Funktionen berzeugen
und werden in den nchsten Jahren mit Sicherheit auch bei anderen
Anbietern auftauchen.

Die wichtigste Frage fr viele User lautet: Kaufsoftware

oder kostenloses Tool? In den Messwerten unten sehen Sie
daher jeweils die besten und schlechtesten Kauf- und
Gratisprogramme.

UNBEKANNTE MALWARE BLOCKEN

Der Gratisscanner AVG schtzt gut vor neuen Viren, das Kaufprogramm von Norman nur mittelmig. Ein Sicherheitsrisiko
ist das kostenlose Microsoft Security Essentials.

= 100 %
= 100 %

BITDEFENDER
F-SECURE
AVG FREE
NORMAN

= 63,5 %

MICROSOFT

= 90,4 %
= 86,5 %

VIREN FINDEN UND ENTFERNEN

Dass Gratissuiten Viren auch finden (erster Wert) und entfernen

(zweiter Wert) knnen, zeigt AVG. Das Kaufprogramm Norton enttuscht mit einer lckenhaften Systembereinigung.
AVIRA

AVG FREE

MALWARE GEFUNDEN

NORTON

= 100 %
= 94 %

= 85 %
= 85 %

PANDA
MALWARE ENTFERNT

= 94 %
= 94 %

= 82 %
= 76 %

RECHNER STARTEN

Der Virenwchter von Panda verzgert den Windows-Start berhaupt nicht. Mit AVG oder der Kaufsuite von Norman braucht der
PC lnger, ehe er startklar ist.
PC OHNE SUITE
PANDA
AVG FREE
NORMAN

= 19,4 SEK
= 19,4 SEK
= 23,7 SEK
= 26,5 SEK

WEBSITES FFNEN

Security-Suiten prfen jede aufgerufene Website auf Viren. Norton

ist dabei am schnellsten, whrend das Kaufprogramm von
AVG deutlich lnger braucht, bis die Seite vollstndig geladen ist.
PC OHNE SUITE
NORTON
PANDA
AVG FREE
AVG

= 24,7 SEK
= 27,4 SEK
= 28,0 SEK
= 33,0 SEK
= 38,4 SEK

Kaspersky prft
Windows und
andere Software auf
ungepatchte Sicherheitslcken

CHIP SICHERHEIT

31

PC ABSICHERN
SO TESTEN WIR
SECURITY-SUITEN

TESTURTEIL

Die Testergebnisse zeigen groe Unterschiede. So gibt es ein

klares Spitzenduo und ein eindeutiges Schlusslicht. Microsofts
kostenloser Scanner Security Essentials bietet nur einen gewissen
Basisschutz. Immerhin: Auf Windows 8 ist er sogar vorinstalliert;
wie Sie ihn einsetzen, lesen Sie auf Seite 52.

Das Testlabor AV-Test prft in einem aufwendigen Verfahren,

wie Virenschutzprogramme auf bekannte und unbekannte Malware
reagieren, infizierte PCs subern und sich auf die Systemleistung
auswirken. Das Testsystem luft unter dem Betriebssystem
Windows 7 Ultimate (32 Bit).

Testsieger F-Secure Internet Security gewinnt wie im Vorjahr

unseren Test ein Zeichen fr konstant guten Virenschutz. Das mit
35 Euro recht gnstige Programm berzeugt durch hervorragende
Erkennungsraten und schafft es dabei, das System nicht unntig
auszubremsen. Einziger Wermutstropfen: F-Secure verzgert die
Bootzeit von Windows strker als viele der Konkurrenten. Eine
30-Tage-Demo der Suite finden Sie auf www.chip.de/downloads.

Malware-Schutz (75 %) Das wichtigste Testkriterium ist der

Virenschutz, daher bekommt diese Wertung die hchste Gewichtung.
Entscheidend sind zwei Punkte: Wie gut schtzt das Programm vor
neuen, noch unbekannten Viren? Und wie gut subert es das System
nach einem Virenbefall? Diese Probleme erfordern intelligente
Manahmen. Der Schutz vor bekannter Malware sollte Routine sein,
da dafr meist Viren-Signaturen vorliegen doch selbst dabei
schwcheln einige Programme. Auerdem bewerten wir die Zahl der
Fehlalarme, die den User verunsichern knnen.
System-Performance (25 %) Security-Suiten sollen schtzen, aber
nicht bremsen. Daher prfen wir, wie die Scanner alltgliche Aufgaben beeinflussen. Beim Surfen im Web sollen sie das Laden von Webseiten nicht unntig verzgern, das Gleiche gilt fr Downloads. ffnet
man Dokumente oder kopiert man Dateien, schaut der Scanner
ebenfalls nach Malware, was Zeit kostet. Auch die Bootzeit von Windows im Vergleich zum System ohne Scanner bewerten wir.

Testsieger F-Secure berzeugt mit sehr

guten Ergebnissen und einfacher Oberflche

Ra

1
2
3
4
5
6
7
8
9
10
11
12

ng

F-Secure Internet Security 2013

BitDefender Internet Security 2013
Kaspersky Internet Security 2013
Trend Micro Titanium Int. Sec. 2013
Norton Internet Security
AVG Antivirus Free 2013
AVG Internet Security 2013
Avira Internet Security 2013
Norman Security Suite 2013
Panda Cloud Antivirus
Eset Smart Security 6
Microsoft Security Essentials 4

1 fr 3 PCs

32

P ro

2 Jahreslizenz

CHIP SICHERHEIT

Ge

sa

92,4
90,3
87,4
87,3
86,3
83,5
83,0
80,3
80,0
79,9
77,8
70,0

w
mt

ert

un

P re

is

(ca

.)2

35 Euro
50 Euro
40 Euro
60 Euro1
40 Euro
gratis
40 Euro
40 Euro
55 Euro2
gratis
35 Euro
gratis

Preistipp Wer sich gratis gegen Malware absichern will, bekommt

mit AVG Antivirus Free 2013 (auf DVD ) eine berzeugende Schutzlsung. Beim Blocken unbekannter Malware erreicht der AVGScanner immerhin eine Trefferrate von 90,4 Prozent das ist
mehr, als so manche Kaufversion schafft.

Beim Malware-Schutz schlgt BitDefender

sogar den Testsieger F-Secure

SECURITY-SUITEN IM VERGLEICH
t
uk

Herausforderer Als Zweitplatzierter erreicht auch BitDefender

Internet Security 2013 ein sehr gutes Gesamtergebnis. Im Malware-Schutz liegt die Suite sogar knapp vor F-Secure, kann aber
bei der Performance nicht ganz mithalten. Wer nicht nur den PC,
sondern auch Mobilgerte und einen Mac sichern will (siehe bersicht rechts), ist mit BitDefender sehr gut beraten.

AVG hat als einer der ersten die Windows8-Optik im Programminterface adaptiert

rnt

s)
s)
in)
,4
s)
,7
n
4m
19
24
,0
fne
t
e:
2:3
29
e:
f
)
t
n
t
i
:
:

r
i
n
n
t
e
e
e
t
e
a
Su
b
Su
ck
uit
an
en
uit
ntf
tei
erk
ge
ne
ne
sc
blo
Da
eS
t/e
um
eS
el
nd
a re
(oh
are
ge
(oh
nn
hn
ok 6 s)
hn
tib
42
u
t
ce
a
o
w
w
o
r
i
e
D
n
0
l
(
l
k
n
(
.
r
g
e
pa
e
,
r
a
a
a
+
1
r
a
n
z
s
1
d
e
t
m
z
e
6
e
M
M
d
1
a
m
t
t
r
s
m :
l
lw
r
(3
n(
tar
-ko
hu
kit
loa
pie
es
nte
Hin
Ma
r fo
ra m u i t e
tio
sc
me
s-S
ko
s-8
wn
oot
an
pe
sit
g:
te
ro g n e S
lar
fe k
a re
do
ow
ek
ow
en
eb
un
nn
eR
i
a
i
em
P
n
t
d
d
b
l
i
w
v
a
t
e
e
i
l
s
W
h
n
n
n
t
s
t
h
s
k
i
t
u
(o
Fe
ak
be
Ma
Sy
Wi
20
De
Da
Le
Da
Wi

95,0
95,7
93,2
93,2
87,8
87,2
88,2
83,8
82,0
78,7
81,8
65,7

84,7
74,0
70,1
69,8
82,0
72,5
67,6
69,7
73,7
83,5
65,9
83,0

WERTUNG

100 %
100 %
98,1 %
98,1 %
94,2 %
90,4 %
90,4 %
88,5 %
86,5 %
90,4 %
90,4 %
63,5 %

99,2 %
99,1 %
98,2 %
100 %
99,8 %
98,5 %
98,5 %
99,0 %
99,8 %
99,9 %
97,3 %
89,9 %

loc

kt

100 %/88 %
100 %/100 %
100 %/100 %
100 %/75 %
88 %/63 %
88 %/88 %
88 %/88 %
100 %/75 %
100 %/100 %
100 %/75 %
75 %/50 %
100 %/63 %

3
(15

.94

5)

2
1
0
1
0
7
7
0
2
5
2
1

en
nt/

100 %/88 %
97 %/94 %
97 %/85 %
91 %/88 %
85 %/82 %
94 %/94 %
97 %/97 %
100 %/94 %
94 %/88 %
85 %/76 %
97 %/88 %
97 %/82 %

19,6 MB/s
13,2 MB/s
12,2 MB/s
13,2 MB/s
25,7 MB/s
11,4 MB/s
11,5 MB/s
16,9 MB/s
6,9 MB/s
12,2 MB/s
10,7 MB/s
9,9 MB/s

t fe

25,1 s
22,9 s
21,6 s
19,7 s
20,0 s
23,7 s
20,9 s
20,1 s
26,5 s
19,4 s
20,5 s
23,7 s

MESSWERTE

29,3s
29,2s
36,1s
32,4s
29,1s
38,9s
48,9s
57,7s
29,0s
31,1s
83,3s
29,0s

28,6 s
32,5 s
31,5 s
36,1 s
27,4 s
33,0 s
38,4 s
33,6 s
34,1 s
28,0 s
30,3 s
31,2 s

14,4 s
17,8 s
18,0 s
20,0 s
23,2 s
13,1 s
13,7 s
15,6 s
17,3 s
13,9 s
13,7 s
13,6 s

3:15 min
6:01 min
5:27 min
6:14 min
5:05 min
4:11 min
4:07 min
3:31 min
3:01 min
3:44 min
5:13 min
2:35 min

ja
ja
ja
ja
ja
ja
ja
nein
nein
ja
ja
ja

RUNDUMSCHUTZ
fr PC, Handy & Co.

Fr jedes Gert ein Schutzprogramm suchen

das nervt. Komplettlsungen ersparen Ihnen das
und helfen bei der Verwaltung
Ob PC, Mac, Smartphone oder Tablet ohne
Virenschutz sollten Sie heute keine Hardware
mehr nutzen. Die beste Lsung: Komplettpakete, die ber einen gemeinsamen Lizenzschlssel die einzelnen Schutzlsungen eines
Herstellers bndeln. Die Lizenzen der Programmpakete wiederum sind an einen UserAccount geknpft, den Sie bei der Erstinstallation anlegen mssen. Mit diesem Account
knnen Sie die angegebene Gertezahl sichern. McAfee All Access und BitDefender
Sphere verzichten sogar auf eine bestimmte
Gertezahl, ein Nutzer kann also beliebig viele Endgerte schtzen. BitDefender geht sogar noch weiter: Mit einer Lizenz knnen Sie
drei User-Accounts anlegen. Damit eignet
sich BitDefender gut fr Familien. Der Preis
von 90 Euro ist fr die gebotene Leistung
zudem fair.
Auf welchen Gerten Sie die Programme
installieren, steht Ihnen frei. Drfen Sie wie
bei Kaspersky fnf Gerte verwalten, knnen das fnf PCs sein, fnf Mobilgerte oder
jede andere Kombination. Lediglich G Data
schrnkt ein. Die Sonderausgabe 2+2
schtzt maximal zwei PCs und zwei Mobilgerte das aber gnstig.
Diebstahlschutz fr Mobilgerte
Ihr Smartphone oder Tablet verknpfen Sie
mit dem Account, indem Sie die kostenlose
App des Herstellers herunterladen und sich

danach in Ihrem Benutzerkonto anmelden.

ber eine Weboberflche knnen Sie den
Account verwalten und darin Ihre Gerte ber
WLAN, Mobilfunk oder GPS orten. Dieses
Feature ist hilfreich, wenn Ihnen ein Gert
gestohlen wurde oder Sie es verloren haben.
Smartphones und Tablets knnen Sie zudem
per Fernzugriff in den Auslieferungszustand
zurcksetzen, sodass zumindest Ihre Daten
nicht in falsche Hnde geraten.

Neben Virenschutz
utz
bieten die Sicherrheitspakete auch
ein Ortungsfeature
re
fr Mobilgerte
und helfen so bei
Gerteverlust

Android-Gerte untersttzen alle Anbieter,

F-Secure und Kaspersky sogar zurck bis zur
Version 1.6. Beide schtzen im Gegensatz zu
anderen Anbietern auch noch Symbian und
Windows Mobile. iPhone und iPad kennen die
Allrounder nicht, ebensowenig wie Windows
Phone. Beide Systeme sind so konstruiert,
dass auch Sicherheitsapps in einer Sandbox
laufen, das System selbst also nicht prfen
knnen. Immerhin sichern die meisten Anbieter Mac OS, was angesichts der zunehmenden Verbreitung von Trojanern und anderen
Schdlingen fr Apples System sinnvoll ist.
Da die Komplettsuiten aus den einzelnen
Plattformlsungen zusammengesetzt sind,
haben sie auch die gleichen Zusatzfunktionen, etwa einen Datensafe, um Dokumente zu
verschlsseln, oder Backup-Funktionen.
Symantec bietet in Norton 360 Multi-Device
dafr auch noch 25 GByte Online-Speicher
weit mehr als die Konkurrenten.

ber eine Weboberflche lassen

sich alle mit der Schutzlsung
verknpften Endgerte verwalten

SICHERHEITSLSUNGEN
FR MEHRERE GERTE
BITDEFENDER F-SECURE
NAME
PREIS (CA.)4

G DATA

KASPERSKY

Sphere 2013

Internet Security +
Mobile Security

Internet Security
2013 "2+2"2

One

90 Euro

105 Euro1

35 Euro

5 Gerte

2 PCs,
2 Mobilgerte

unbegrenzt
GERTEZAHL
(3 User-Accounts)

MCAFEE

SYMANTEC

TREND MICRO

All Access 2013

Norton 360
Multi-Device

Maximum Security

90 Euro3

85 Euro

60 Euro

40 Euro

5 Gerte

unbegrenzt
(1 User-Account)

3 Gerte

5 Gerte

WINDOWS

XP bis 8

XP bis 8

XP bis 8

XP bis 8

XP bis 8

XP bis 8

XP bis 8

ANDROID

ab 2.2

ab 1.6

ab 2.1

ab 1.6

ab 2.0

ab 2.2

ab 2.2

Win Mobile 6,
Symbian 3

ANDERE MOBILE OS

BlackBerry 4.56.0,
Symbian ab 3,
BlackBerry ab 4.5
Win Mobile 5.06.5

MAC OS

ab 10.4

ab 10.5

ab 10.5

ab 10.7

ab 10.5

ONLINESPEICHER

2 GByte

2 GByte

25 GByte

5 GByte

1 80 Euro fr 3 Gerte 2 Sonderprodukt mit begrenzter Stckzahl 3 60 Euro fr 3 Gerte 4 Jahreslizenz

CHIP SICHERHEIT

33

HEFT-DVD

Die Highlights
der Heft-DVD
Schtzen Sie Ihre Privatsphre mit den beiden Vollversionen GoogleClean 2013 und Steganos Online
Shield 365 sowie dem groen CHIP Security-Toolkit

Vollversion

Mit Steganos Online Shield 365

sind Sie anonym im Web unterwegs
dank der von Steganos betriebenen VPN-Server. Ein weiteres
Plus: Alle Daten sind verschlsselt.

Vollversion

Schieben Sie der Datensammelwut von Google

einen Riegel vor: GoogleClean lscht automatisch
alle Cookies und optimiert
die Sicherheitseinstellungen auf Ihrem PC

REcovery &
Backup

Mit diesen Tools sichern

Sie interne und externe
Festplatten und USBSticks, stbern verlorengeglaubte Daten auf und
retten sogar vermeintlich
gelschte Partitionen

Verschlsselung

Surfen Sie anonym mit dem CHIPSicherheitsbrowser, verschlsseln Sie

Ihre Daten oder organisieren Sie Ihre
Passwrter schnell und sicher

34

CHIP SICHERHEIT

System aufrumen Antivirus & Co

Ob doppelte Daten, veraltete Dateireste oder anderer Datenmll mit

diesen Tools rumen Sie Ihren
Rechner auf und beschleunigen ihn

Schtzen Sie Ihr Netzwerk:

Diese Programme sichern
Sie gegen Angreifer und
Trojaner ab

VOLLVERSION
GOOGLECLEAN 2013

Mit GoogleClean halten Sie Googles Datensammler davon ab, Ihre

persnlichen Vorlieben und Gewohnheiten zu bermitteln:
Neben dem Browser Chrome, der Desktopsuche und einer Toolbar
werden etwa das Bildbearbeitungsprogramm Picasa und Google
Earth vom Suchmaschinen-Giganten kostenlos zur Verfgung gestellt. Dabei sorgen die zahlreichen versteckten Analysemechanismen, die Google in seinen Programmen einsetzt, hufig fr Unmut
bei den Benutzern. Mit GoogleClean knnen Sie diese Werkzeuge
einfach abschalten und die gesammelten Daten lschen. Das Programm entfernt angelegte Cookies aus Google Chrome, Google-Trackings und YouTube-Favoriten. Zudem knnen Sie Ihre Benutzer-ID
lschen, den Programm-Cache reinigen und zahlreiche weitere
Datensammler aus den diversen Google-Applikationen deaktivieren.

VOLLVERSION
STEGANOS ONLINE SHIELD 365

Mit Online Shield 365 schtzen Sie nicht nur Ihre Identitt im Internet
durch Nutzen einer anonymen VPN-Verbindung, sondern verschlsseln auch gleich Ihre Internet-Verbindung. So knnen Dritte Ihre Aktivitten nicht nachverfolgen und ausspionieren. Das ist besonders
wichtig beim Online-Banking, aber auch beim Einkauf in einem Internet-Shop oder bei einem digitalen Behrdengang. Auch bei der Nutzung ffentlicher WLANs ist so ein geschtzter VPN-Tunnel sehr sinnvoll. Eine weiteres Plus: Mit
Steganos Online Shield umgehen Sie Lndersperren auf
IP-Basis. So knnen Sie etwa
YouTube-Videos ansehen, die in
Deutschland gesperrt sind. Dafr stehen VPN-Server-Standorte in verschiedenen Lndern
wie Grobritannien, Frankreich
oder USA, aber auch Japan
oder Singapur bereit. Die Vollversion mit 2 GByte Datenvolumen pro Monat ist sechs Monate lang gltig.

SO FUNKTIONIERT DIE DVD

Die DVD startet automatisch, sobald Sie sie eingelegt haben. Gegebenenfalls mssen Sie der Ausfhrung zuvor zustimmen. Sollte der Autostart auf
Ihrem PC deaktiviert sein, klicken Sie bitte doppelt
auf die Datei autostart.exe oder ffnen Sie in
Ihrem Browser start.html.

CHIP SICHERHEIT

35

HEFT-DVD

DVD

Gut geschtzt mit der

Online-Tarnkappe
Mit unserer Vollversion von Steganos Online Shield 365 sind Sie
sechs Monate lang unerkannt im Web unterwegs. Mglich machen es
elf VPN-Server, die Steganos betreibt. So surfen Sie mit Tarnkappe

lle Ihre Schritte im Web werden aufgezeichnet, da Ihre IPAdresse in den Logdateien der besuchten Server gespeichert wird. Dabei spielt es keine Rolle, ob Sie mit einer
festen oder einer dynamischen IP-Adresse surfen. Darber
hinaus knnen die Inhalte der unverschlsselt versendeten und empfangenen Datenpakete ausgelesen werden nicht nur
von der NSA, dem BND oder anderen Geheimdiensten. Sie sind den
Schnfflern aber nicht schutzlos ausgeliefert, wenn Sie unsere
Vollversion von Steganos Online Shield 365 einsetzen. Denn mit
der Security-Software knnen Sie anonym im Web surfen. Mglich
ist das, weil alle Daten ber von Steganos betriebene VPN-Server
bertragen werden und zwar verschlsselt.

Steganos Online Shield 365

Das Grundprinzip der Software ist ebenso einfach wie genial. Sobald
Sie die Verbindung zu einem Steganos-VPN-Server herstellen, wird

36

CHIP SICHERHEIT

Ihr Computer zu einem Teil dieses Netzwerks. Somit sind Sie im Internet nicht mehr mit der IP-Adresse unterwegs, die Ihnen Ihr Provider zugeteilt hat. Vielmehr surfen Sie mit einer IP-Adresse dieses
Netzwerks, was fr maximale Anonymitt sorgt, da die IP-Adresse
nicht mit Ihnen in Verbindung gebracht werden kann. Insgesamt
stehen elf unterschiedliche VPN-Server zur Auswahl. Ein weiteres
Plus: Die Daten werden verschlsselt bertragen, was das Abhren
nahezu unmglich macht. Sehr gut: Whrend bei der Testversion
von Online Shield 365 das monatliche Datenvolumen auf 500 MByte
beschrnkt ist, drfen Sie mit unserer Vollversion 2 GByte pro Monat verbrauchen ein halbes Jahr lang.
In diesem ausfhrlichen Workshop zeigen wir Ihnen Schritt fr
Schritt, wie Sie Steganos Online Shield 365 installieren, konfigurieren und in der Praxis nutzen. So sind Sie sicher und unerkannt also
quasi mit Tarnkappe im Internet unterwegs und knnen allen Geheimdiensten dieser Welt ein Schnippchen schlagen.

Steganos Online Shield 365 installieren Starten Sie die Installa-

Software registrieren Rufen Sie im Browser die Webseite www.

VPN-Verbindung einschalten Kinderleicht ist das Aktivieren der

Sicher per VPN im Internet unterwegs Im Hauptfenster von Ste-

Manuelle Wahl des VPN-Servers Sie knnen selbst auswhlen,

tionsroutine und klicken Sie in der Benutzerkontensteuerung

auf Ja, um mit dem Einspielen der Vollversion zu beginnen. Whrend der Installation mchte der Dialog Windows-Sicherheit von
Ihnen wissen, ob Sie die Gertesoftware TAP-Windows Provider V9
Netzwerkadapter einspielen mchten. Sie fahren fort, indem Sie
auf die Schaltflche Installieren klicken. Nach Abschluss der Installation macht Sie der Einrichtungsassistent mglicherweise darauf aufmerksam, dass ein Update zur Verfgung steht. In diesem
Fall klicken Sie auf Weiter, um die Aktualisierung zu laden und
einzuspielen. Anschlieend besttigen Sie die Allgemeinen Geschftsbedingungen, indem Sie auf die Schaltflche Akzeptieren
klicken.

steganos.com/specials/chipspezial/sos auf, geben Sie Ihre EMail-Adresse ein und klicken Sie auf OK. Wie Ihnen das System
mitteilt, wird Ihnen der Registrierungscode innerhalb von zehn Minuten per E-Mail zugeschickt. ffnen Sie die E-Mail und kopieren Sie
die Seriennummer. Wechseln Sie dann zu Steganos Online Shield
365, klicken Sie auf Men | Seriennummer eingeben, fgen Sie die
zuvor kopierte Seriennummer ein und besttigen Sie mit einem
Klick auf Absenden. Nun stehen Ihnen anstatt der standardmigen 500 MByte satte 2 GByte pro Monat kostenlos zur Verfgung. Und zwar ganze sechs Monate lang.

Online-Sicherheit. Sie mssen lediglich den Schalter von Aus

auf Ein stellen, um ber eine VPN-Verbindung online zu gehen.
Anschlieend baut das Security-Tool einen VPN-Tunnel zu einem der
untersttzten Server auf. Dieser Vorgang kann einige Sekunden dauern, da die Software versucht, Kontakt zu dem am besten geeigneten
VPN-Server herzustellen. Sobald die VPN-Verbindung steht, schlieen Sie den Dialog per Klick auf den Link Jetzt nicht entscheiden.

ganos Online Shield 365 macht Sie der Hinweis Ihre InternetVerbindung ist sicher! darauf aufmerksam, dass die VPN-Verbindung steht. Wieviel Sie von Ihrem monatlichen Freivolumen bisher
verbraucht haben, erkennen Sie durch einen Blick auf die am unteren Bildschirmrand platzierte Statusleiste. Ebenfalls angezeigt wird
die IP-Adresse, mit der Sie im Internet unterwegs sind und die sich
von Ihrer tatschlichen, also der vom Provider zugeteilten IP-Adresse unterscheidet. Wollen Sie wissen, wo der VPN-Server, ber den Ihre Daten verschlsselt bertragen werden, steht, klicken Sie auf
Men und whlen Shield-Standort.

ber welchen VPN-Server Sie im Web surfen wollen. Dazu gehen Sie
so vor wie im vorigen Schritt beschrieben, und klicken danach das gewnschte Land, etwa Schweiz, an. Anschlieend wird die aktuelle
VPN-Verbindung getrennt und neu aufgebaut, was einige Sekunden
dauern kann. Wollen Sie den ungefhren Standort des Steganos-VPNServers in Erfahrung bringen, ffnen Sie den Browser und rufen die
Webseite www.gaijin.at/olsgeoip.php auf. Aktivieren Sie die Option
Landkarte anzeigen und klicken Sie auf Position suchen, um einen Blick auf diese Details zu werfen.

CHIP SICHERHEIT

37

HEFT-DVD

Grundeinstellungen der Software anpassen Da sich Steganos

E-Mail-Versand aktivieren Um zu verhindern, dass Spam-Mailer

E-Mail-Server auswhlen Zwei Server, ber die der E-Mail-Ver-

Online Shield 365 auf die Bereitstellung der wichtigsten Funktionen beschrnkt, sind die zur Verfgung stehenden Programmeinstellungen recht berschaubar. Klicken Sie auf Men und whlen Sie Einstellungen, um das Konfigurationsmen zu ffnen.
ber Beim Anmelden an den Computer automatisch starten knnen Sie festlegen, ob der Schutzmechanismus gleich nach dem
Hochfahren des Rechners aktiv sein soll. Falls die Software automatisch nach Updates im Internet suchen soll, aktivieren Sie die gleichnamige Option.

die Software missbrauchen, um unerwnschte Werbe-Mails zu

versenden, ist der E-Mail-Versand mit einem Programm wie Outlook
oder Thunderbird bei aktiver VPN-Verbindung nicht mglich. Allerdings knnen Sie diese standardmig eingeschaltete Sperre umgehen, indem Sie im Hauptfenster der Software zunchst einmal auf
den Link Probleme beim E-Mail-Versand lsen klicken.

sand auch per VPN-Verbindung mglich ist, sind bereits eingetragen aber noch nicht aktiviert. Nutzen Sie Gmail oder T-Online zum
E-Mail-Versand, gengt es, den entsprechenden Eintrag anzuklicken
und mit OK zu besttigen, um den Versand von E-Mails zu erlauben. Anschlieend mssen Sie die VPN-Verbindung trennen und
wiederherstellen.

Neuen E-Mail-Server eintragen Ist Ihr E-Mail-Server nicht dabei,

mssen Sie die Serveradresse manuell eingeben. Dazu tippen Sie
den Namen des Postausgangsservers, zum Beispiel smtp.strato.de,
mail.gmx.net oder smtp.1und1.de in das Eingabefeld und klicken auf die Schaltflche Hinzufgen. Anschlieend aktivieren
Sie den gewnschten Server so wie im vorigen Schritt beschrieben.
Nutzen Sie mehrere E-Mail-Konten bei verschiedenen Providern, aktivieren Sie alle entsprechenden Server.

10

Steganos Online Shield 365 beenden Wollen Sie die Software

komplett ausschalten, gehen Sie so vor: Klicken Sie das in der

Systray untergebrachte Icon mit der rechten Maustaste an und entscheiden Sie sich fr Beenden. Im folgenden Fenster klicken Sie
auf den Link Jetzt nicht entscheiden, den nchsten Dialog quittieren Sie mit Ja.

TIPP
E-MAIL-SERVER ERMITTELN

Um E-Mails mit Outlook oder Thunderbird bei aktiver VPN-Verbindung versenden zu knnen, muss der genutzte Postausgangsserver in der Liste der Ausnahmen aufgefhrt sein (siehe
Schritte 7 bis 9). Kennen Sie die Adresse des verwendeten Postausgangsservers nicht genau, hilft in den meisten Fllen
eine Google-Suche weiter. Suchen Sie nach Postausgangsserver und dem Namen Ihres Providers. Alternativ dazu knnen
Sie auch Ihr E-Mail-Programm ffnen und einen Blick auf die
Kontoeinstellungen werfen, um den verwendeten Postausgangsserver in Erfahrung zu bringen.

38

CHIP SICHERHEIT

10

GESPERRTE
Videos ansehen

Sie kennen das Problem: Wenn Sie etwa ein

bestimmtes Musikvideo bei YouTube ansehen
wollen, erscheint manchmal der Hinweis
Dieses Video ist nicht verfgbar. Mit
Steganos Online Shield 365 umgehen Sie
diese lstige Lndersperre

In Deutschland gesperrte YouTube-Videos Stolpern Sie beim Sur-

Mit englischer IP-Adresse ins Web Wechseln Sie zu Steganos On-

Gesperrte YouTube-Videos abspielen Starten Sie nun den Brow-

Mit Vevo funktioniert es auch Da Sie nun mit einer britischen

fen auf YouTube ber ein interessantes Musikvideo, das Sie sich
gerne ansehen mchten, nimmt der multimediale Genuss oftmals
ein abruptes Ende. Denn anstatt das Video abzuspielen, macht Sie
YouTube darauf aufmerksam, dass dieses Video nicht verfgbar ist.
Allerdings ist das nur die halbe Wahrheit: Das Video ist sehr wohl
verfgbar allerdings nicht fr Surfer, die mit einer deutschen IPAdresse unterwegs sind. Da Sie aber ber Steganos Online Shield 365
online gehen knnen, stellt diese Lndersperre kein Problem dar.

line Shield 365 und klicken Sie auf die Schaltflche Men, um
die Liste der untersttzten VPN-Server aufzurufen. Ratsam ist es,
sich fr Grobritannien zu entscheiden, da englische Nutzer die
hierzulande gesperrten YouTube-Videos problemlos ansehen knnen. Gleichzeitig liefert dieser Server in den meisten Fllen eine ordentliche Datenbertragungsrate, sodass die Videos ruckelfrei wiedergegeben werden. Alternativ dazu knnen Sie aber auch eine Verbindung mit dem US-amerikanischen VPN-Server herstellen.

ser, rufen Sie YouTube auf und suchen Sie nach dem Video, das
Sie zuvor nicht wiedergeben konnten nun wird das Filmchen klaglos abgespielt und Sie knnen sich von all Ihren Lieblingsvideos unterhalten lassen. Einzige Einschrnkung ist, dass im Rahmen der
CHIP-Vollversion das monatliche Datenvolumen auf 2 GByte begrenzt ist klar, VPN-Server kosten eine Menge Geld. Sie sollten also
immer wieder einmal nachschauen, wie viel von den 2 GByte noch
brig sind ...

IP-Adresse im Web unterwegs sind, knnen Sie auch all die anderen Angebote, die in Deutschland eigentlich nicht verfgbar sind,
nutzen. Dazu gehren beispielsweise MTV.com und natrlich Vevo
(www.vevo.com). Nicht vergessen: Sollte es bei der Wiedergabe mit
dem Internet Explorer zu Problemen kommen, liegt das nicht an der
VPN-Verbindung, sondern am Browser. In diesem Fall ffnen Sie den
Link zum Video ganz einfach in einem anderen Browser, zum Beispiel in Google Chrome.

CHIP SICHERHEIT

39

HEFT-DVD

DVD

Google-Software
Ohne Spionage

Kostenlose Software ist super! Doch wenn die Programme Daten

sammeln und an den Hersteller bertragen, sollten Sie dagegenhalten
etwa mit unserer Vollversion GoogleClean 2013 von Abelssoft

b Bilderverwaltung, virtueller Globus oder IndexierungsProgramm Google stellt Software wie Picasa, Google Earth
oder Google Desktop kostenlos zur Verfgung. Was Sie
mglicherweise nicht wissen: Im Gegenzug rumen Sie
dem Hersteller mehr oder weniger das Recht ein, Ihr Surfverhalten zu protokollieren, Benutzerprofile anzulegen und Suchprotokolle zu speichern. Um sich dagegen zu wehren, brauchen Sie
nichts weiter zu tun, als die Vollversion von Abelssoft GoogleClean
2013 zu installieren und zu konfigurieren. Wie Sie dabei vorgehen,
zeigen wir Ihnen in diesem Workshop, in dem wir auf die wichtigsten Funktionen eingehen.

Vollversion auf DVD: GoogleClean 2013

Das ausgezeichnete Security-Programm kennt nicht nur die Desktop-Software aus dem Hause Google. Auch Web-Services wie Gmail,
Google Suche und Maps sowie die in vielen Webseiten eingebun-

40

CHIP SICHERHEIT

dene Komponente Google Analytics Tracking werden untersttzt,

sodass Sie mit der Vollversion nahezu dem kompletten Google-Software-Spektrum das unbefugte Schnffeln austreiben knnen.
Google- und YouTube-Cookies werden dabei ebenso bercksichtigt
wie die Sicherheits- und Datenschutz-Einstellungen der diversen
Programme, die kostenlos zu haben sind. So ist sichergestellt, dass
Google knftig nicht mehr an Informationen gelangen kann, die das
Unternehmen berhaupt nichts angehen. Ungemein benutzerfreundlich ist in diesem Zusammenhang die Komponente Google
Radar. Einmal aktiviert, luft der intelligente Schutzmechanismus
im Hintergrund und lscht automatisch alle von Google auf dem
Rechner abgelegten Cookies nahezu in Echtzeit.
Interessante Sonderfunktion: Sie knnen direkt aus der Software
heraus ein Formular herunterladen, ausfllen und absenden, das es
Ihnen ermglicht, einen Antrag auf Unkenntlichmachung Ihres
Hauses in Google Streetview zu stellen.

Abelssoft GoogleClean 2013 installieren Das Einspielen der

Software kostenlos freischalten Bevor Sie das Programm nut-

Grundlegende Konfiguration Nach der Freischaltung startet das

bersicht der entdeckten Schwachstellen Die Software hat Ih-

Software, die auf den Computern aller sicherheitsbewussten Anwender laufen sollte, ist unkompliziert. Starten Sie das Installationsprogramm und folgen Sie den Bildschirmanweisungen, um GoogleClean mit den Standardeinstellungen einzuspielen. Zum Abschluss
klicken Sie auf die Schaltflche Installieren. Sollte auf Ihrem PC
das .NET Framework noch nicht vorhanden sein, wird die Komponente ebenfalls geladen und eingespielt. Dieser Vorgang kann einige
Minuten dauern. Zuletzt klicken Sie auf die Schaltflche Fertigstellen, um GoogleClean 2013 zu starten.

zen knnen, mssen Sie es freischalten. Dazu tippen Sie die geforderten Informationen ein und klicken auf Freischaltung kostenlos
anfordern. Ein Dialog macht Sie darauf aufmerksam, dass der Aktivierungslink per E-Mail verschickt wurde. Schlieen Sie den Dialog
mit OK, ffnen Sie Ihren E-Mail-Client und klicken Sie den in der
Nachricht eingebundenen Link an, um Abelssoft GoogleClean 2013
freizuschalten.

Programm automatisch. Beim ersten Start begrt Sie ein Assistent. Klicken Sie auf Fragen beantworten, um zwei wichtige
Sicherheitseinstellungen zu konfigurieren. Im ersten Schritt sollten
Sie sich fr Passwrter-Erinnerung aus entscheiden, damit GoogleClean die im Chrome-Browser gespeicherten Passwrter lschen
kann. Anschlieend geben Sie an, ob Sie den PC alleine oder gemeinsam mit anderen Personen nutzen. Im letzten Schritt des Assistenten knnen Sie einen Blick auf die von Ihnen gewhlten Einstellungen werfen. Schlieen Sie den Dialog mit einem Klick auf Fertig.

ren Rechner bereits analysiert und listet nach dem Start den Gesamtstatus auf. Besonders wichtig sind die Informationen zu den
Schwachstellen, die Sie an einem roten Dreieck erkennen. In unserem
Beispiel entsprechen sieben Einstellungen nicht den vorgegebenen
Werten. Darber hinaus hat das Tool zehn Google- und fnf YouTubeCookies auf dem Rechner entdeckt. Um die Google-Cookies von der
Festplatte zu lschen, whlen Sie in der linken Spalte das Kuchen-Icon
aus und klicken danach auf Google Cookies lschen. Anschlieend
gehen Sie auf das YouTube-Icon und entfernen auch diese Cookies.

Weitere Sicherheitslcken stopfen Haben Sie alle Cookies entfernt, sollten Sie die Sicherheitseinstellungen konfigurieren.
Whlen Sie das Chrome-Icon aus und klicken Sie danach in allen Feldern, die mit einem roten Dreieck markiert sind, auf den Link Umschalten, um den jeweiligen Schutzmechanismus zu aktivieren.
Anschlieend gehen Sie die einzelnen Register von oben nach unten
durch, achten auf die roten Dreiecke und schalten die von Abelssoft
GoogleClean 2013 vorgeschlagenen Einstellungen durch Anklicken
des jeweiligen Links ein. Je mehr Google-Programme Sie nutzen, desto mehr Einstellungen mssen Sie anpassen. Haben Sie alle Register
durchgearbeitet, bringen Sie den Gesamtstatus nach vorne. Nun
sollten berall grne Hkchen zu sehen sein. Ihr System ist also ab
sofort vor Google-Spionage geschtzt. Und damit das so bleibt, aktivieren Sie den Google Radar eine pfiffige Komponente, die Cookies und anderen Google-Datenmll automatisch lscht.
CHIP SICHERHEIT

41

PC ABSICHERN

PC entrmpeln,

entmllen, entgiften

Wer seinen PC sauber und aufgerumt hlt, schafft nicht nur Platz und bersicht
der Rechner wird auch schneller und sicherer. Die meisten Tools zu unseren
Tipps finden Sie auf der Heft-DVD VON JRG GEIGER
42

CHIP SICHERHEIT

SYSTEM:
Unntige Dienste

Ein zugemlltes Windows bremst Programme

und kann die Ursache fr Fehler im Betrieb
sein. So rumen Sie auf

Windows analysieren Bevor Sie ausmisten, sollten Sie sich einen

berblick verschaffen, wie gro das Chaos auf Ihrem PC ist. Drcken Sie dazu [Windows]+[R] und tippen Sie den Befehl perfmon/
report ein. Windows prft dann die Leistungsberwachung und gibt
eine Liste mit Gesundheitswerten aus. Ganz oben werden Fehler rot
hervorgehoben, etwa nicht funktionierende Gerte oder zu lange
Antwortzeiten von Systemdiensten. Gibt es viele rote Markierungen,
nehmen Sie sich diese mit unseren Aufrumtipps zuerst vor. Grne
Eintrge zeigen, dass Windows an dieser Stelle keine Probleme hat.

FOTO: KLAUS SATZINGER

Autostarts aufrumen Zu viele Programme im Autostart-Ordner verzgern den Windows-Start unntig. Um zu sehen, was im
Hintergrund luft, mssen Sie zu externen Analysetools greifen,
etwa Autoruns von Microsoft (erhltlich auf chip.de). Das Gratis-Tool
checkt das System und zeigt laufende Anwendungen, geladene Treiber und gestartete Services an. Die zur Autostart-Optimierung wichtigen Informationen finden Sie im Register Logon. Anders als die
Windows-Funktion msconfig listet es auch Beschreibungen und
den Herstellernamen auf. So knnen Sie bei unbekannten Diensten
herausfinden, ob Sie diese deaktivieren oder lieber behalten sollen.

Dienste ausmisten Das Zusammenspiel verschiedener Kompo-

Programme entrmpeln In Windows sammeln sich viele Daten

nenten wie etwa Netzwerkverbindungen regelt Windows ber

Hintergrunddienste. Nutzen Sie dazu [Windows]+[R] und gehen Sie
ber msconfig in den Reiter Dienste. Dort klicken Sie die Checkbox vor Alle Microsoft-Dienste ausblenden an, damit Sie nur die
Dienste von Zusatzprogrammen sehen. Wenn Sie nun lediglich Programmeintrge von Tools finden, die Sie wirklich nutzen, mssen
Sie entscheiden, ob der automatische Start ntig ist.
Klicken Sie auf Start | Ausfhren und geben Sie services.msc
ein. Nun werden Sie vermutlich immer noch von Diensteintrgen
erschlagen. Zum manuellen Deaktivieren klicken Sie mit der rechten
Maustaste auf einen Dienst und whlen Eigenschaften. Im
nchsten Men klicken Sie auf Beenden, um den Dienst sofort zu
stoppen. Dann setzen Sie den Starttyp auf Deaktiviert. Es lohnt
sich aber nicht, bei den Microsoft-Diensten viel Zeit ins Ausmisten
zu investieren, da der Aufwand den Nutzen bersteigt.

an, die man so nicht mehr braucht. Zwar ist die Bremswirkung
bei Windows 7 und 8 nicht mehr so gro wie noch zu Zeiten von
Windows 95 ab und an aufzurumen schaufelt zumindest aber
wieder Speicherplatz frei, der auf einer SSD nicht im berfluss be-

CHIP SICHERHEIT

43

PC ABSICHERN

reitsteht. Unser Tool der Wahl ist CCleaner (auf DVD ), es entrmpelt
nmlich nicht nur temporre Dateien und Caches, sondern widmet
sich gezielt auch den Speicherfressern bei den installierten Programmen. In der aktuellen Version 4 ordnet CCleaner sogar den Cache einer Photoshop-Installation. Whlen Sie einfach auf der linken Seite
unter Cleaner aus, welche Windows-Abschnitte oder Programme
Sie bereinigen wollen. Klicken Sie danach auf Analysieren. Jetzt
prft CCleaner die von Ihnen ausgewhlten Bereiche auf Datenmll
und listet das Ergebnis bersichtlich auf. Mit einem Klick auf Starte
CCleaner rumt das Programm auf. Mit dem CCEnhancer lsst sich
das Entrmpeln optimieren. Dieses Tool bringt dem CCleaner 500
Putztricks fr weitere Programme bei. Einmal pro Jahr sollte man
unbedingt auch die installierten Programme durchsehen und die
nicht bentigten entfernen. Das machen Sie entweder ber die Systemsteuerung in Windows oder mit einem Spezialtool wie beispielsweise Revo Uninstaller.

Windows-8-Apps aussortieren Unter Windows 8 hat man neben

den klassischen Programmen zustzlich noch mit Apps die Mglichkeit, seinen PC zuzumllen. Auch hier gilt: Einmal im Jahr sollten
Sie sich die Zeit nehmen und die installierten Anwendungen durchschauen. Per [Windows]-Taste kommen Sie in die App-bersicht.
Apps, die Sie definitiv nicht mehr nutzen, sollten Sie deinstallieren.
Das geht ganz einfach: Whlen Sie die Anwendung auf dem Startscreen per Rechtsklick aus und klicken Sie danach in der Leiste am
unteren Bildschirmrand auf Deinstallieren fertig.

Arbeitsflche putzen Desktop-Liebhaber pflastern ihren Bild-

Startmen auf Vordermann bringen Zu einem schlanken Win-

Treiberleichen entsorgen Fehlerhafte oder veraltete Treiber kn-

schirm gerne mit Verknpfungen voll. Das ist bis zu einem bestimmten Grad sicher praktisch, irgendwann findet man sich aber
nicht mehr zurecht. Deshalb sollten Sie Links, die Sie nicht mehr
brauchen, regelmig lschen. Wenn die Verknpfungen zu installierten Programmen gehren, die Sie nicht mehr verwenden, dann
entfernen Sie die ganze Software ber die Systemsteuerung. Fr die
verbleibenden Desktop-Icons gilt: Ordnung muss sein. Fences ist ein
Windows-Tool, das fr mehr bersichtlichkeit auf Ihrem Desktop
sorgt. hnlich einem Schubladensystem packt Fences die jeweiligen
Programme, Dateien, Ordner und Verknpfungen ordentlich in abgegrenzte Kategorien und schafft bersicht im Icon-Salat.
HINWEIS Gratis gibt es von Fences nur noch Version 1.01 (auf DVD).
Die kostenpflichtige Version 2.10 gibt es auf chip.de.

dows gehrt ein gut sortiertes Startmen. Klicken Sie mit der
rechten Maustaste auf den Startknopf von XP oder den WindowsKnopf bei Vista oder Win7. ber Eigenschaften gelangen Sie zu
den Einstellungsmglichkeiten. Detailkonfigurationen erledigen Sie
ber den Punkt Anpassen. Einen Schritt weiter geht, wer unter
Windows 7 oder 8 das klassische Startmen von XP einrichten will.
Die Freeware Classic Shell (auf DVD ) erledigt das.

nen in Windows Performance-Probleme verursachen. ffnen Sie

deshalb den Gerte-Manager. Falls Sie dort Ausrufezeichen finden,
mssen Sie die entsprechenden Treiber ber das Kontextmen aktualisieren. Eine Freeware wie SlimDrivers (auf DVD ) bernimmt diese
Prfung auch kostenlos und automatisch.

44

CHIP SICHERHEIT

FESTPLATTE:
Nutzlose Dateien

Dreh- und Angelpunkt in PC und Notebook

ist die Festplatte. Wer dort aufrumt, holt am
meisten Platz heraus

Speicherfresser enttarnen Sie planen den Umzug von einer

Festplatte auf eine kleinere SSD und fragen sich, was den meisten
Platz auf der Festplatte belegt? Die Freeware RidNacs (auf DVD ) liefert die Antwort. Das Tool zeigt den aktuellen Speicherverbrauch
einzelner Verzeichnisse und sogar von Netzlaufwerken an.

Dateisystem warten Leider spart der Gesundheitscheck von Windows das Dateisystem aus. Das passende Tool mssen Sie ber
eine Kommandozeile mit Adminrechten starten. Unter Windows 7
erreichen Sie die Kommandozeile ber [Win]+[R] und das Eintippen
von cmd. Halten Sie beim Besttigen der Eingabe [Strg] und [Umschalt] gedrckt. Unter Windows 8 nehmen Sie [Windows]+[X] und
whlen Eingabeaufforderung (Administrator). Dann tippen Sie in
die Kommandozeile chkdsk ein. Werden Fehler gefunden, knnen
Sie diese mit chkdsk/f beheben.

Festplatte aufrumen Das regelmige Defragmentieren fhrt

nicht nur zerstckelte Dateien zusammen, es bringt auch Tempo.
Die Windows-Versionen von XP bis 8 haben einen Defragmentierer
eingebaut. Bei XP muss man ihn entweder manuell starten oder mit
dem Aufgabenplaner zur regelmigen Arbeit auffordern. Alternativ
knnen Sie auch ein Tool wie Defraggler nutzen.
ACHTUNG Die Defragmentierung bringt nur auf normalen Festplatten
etwas. SSDs profitieren davon nicht. Auch die Windows-eigene Datentrgerbereinigung eignet sich zum Aufrumen. Sie knnen sie
ber die Suche nach cleanmgr direkt aufrufen.

Doppelte Dateien lschen Dubletten entstehen meist durch Ko-

Windows.old entfernen Wer sein Windows upgegradet hat (etwa

piervorgnge. Beim Lschen hilft Ihnen eine Software wie AntiTwin (auf DVD ). Whlen Sie den Ordner, in dem Sie Duplikate vermuten, und klicken Sie auf nach doppelten Dateien suchen. Auf
Wunsch durchforstet die Software auch Unterordner.

von Version 7 auf 8), findet auf der C-Partition den Ordner Windows.old. Darin liegen Dateien aus der vorherigen Version, wodurch
je nach Gre der Installation gut und gerne 5 bis 15 GByte Speicherplatz draufgehen. Wenn Sie aus dem alten Windows keine Datei
mehr brauchen, lschen Sie den Windows.old-Ordner einfach. Dazu rufen Sie die Datentrgerbereinigung ber die Suche nach cleanmgr direkt auf, klicken auf Systemdateien bereinigen und aktivieren Vorherige Windows-Installation(en). Ein Klick auf OK
und auf Daten lschen entfernt den Ordner Windows.old.

CHIP SICHERHEIT

45

PC ABSICHERN

INTERNET:
Heikle Surfspuren
Auch Browser und Webdienste hufen
Daten an, die noch dazu verrterisch sind.
Wir liefern Ihnen die passenden Putztipps

IE ausmisten Wer den Internet Explorer 10 nutzt, kann auf externe Putztools wie CCleaner setzen, um unntige Daten des Browsers auszumisten (siehe Tipp 4 auf Seite 43). Es geht aber auch mit
Bordmitteln. Klicken Sie im Internet Explorer 10 auf Einstellungen
und danach auf Internetoptionen. Im Register Allgemein whlen Sie unter Browserverlauf die Option Browserverlauf beim Beenden lschen. Der IE lscht dann beim Schlieen die Temp-Dateien sowie Verlauf, Cookies, Kennwrter und Formularinfos.

Firefox aufrumen Firefox ldt dazu ein, neue Add-ons auszuprobieren. Doch nur selten machen sich User die Mhe, nicht
mehr gebrauchte Add-ons zu deinstallieren. ber about:addons
kommen Sie in die bersicht, in der Sie dann ber Erweiterungen
die ungenutzten Add-ons entfernen knnen.

Dropbox ordnen Der Onlinespeicher gleicht nach einiger Zeit

allzu oft einer Mllhalde fr Dateien. Fr die ntige Putzaktion
empfehlen wir das Tool WinDirStat (auf DVD ). Der Clou dabei: Man
loggt sich nicht bei Dropbox auf der Webseite ein, sondern scannt
den im Windows Explorer eingebundenen Ordner Dropbox. WinDirStat kann nmlich den Platzbedarf einzelner Ordner ermitteln
und in einer schnen bersicht darstellen. So erkennen Sie Speicherfresser auf einen Blick und knnen sie gezielt lschen.

Facebook entrmpeln Auch bei Facebook sammeln sich mit

der Zeit jede Menge berflssige Apps an. Schauen Sie deshalb
auf der Webseite facebook.com/appcenter/my nach Apps und deinstallieren Sie die ungenutzten. Dabei hilft die Sortierung nach
Zuletzt verwendet. Facebook speichert darber hinaus jede Suchanfrage. Diesen Verlauf werden Sie unter dem eigenen Profil ber
das Aktivittenprotokoll los. Dazu whlen Sie links im Men Suche und klicken anschlieend oben auf Suchen lschen.

Google subern Wollen Sie die gespeicherten Suchanfragen von

Google sehen, melden Sie sich bei einem Google-Dienst Ihrer
Wahl an, etwa bei GMail. Klicken Sie oben neben Ihrem Profilbild auf
den kleinen Pfeil und whlen Sie aus dem Drop-down-Men den
Punkt Datenschutz aus. Dort steuern Sie unter Datenschutz bei
Google den Eintrag Im Dashboard anmelden an. Unter Webprotokoll finden Sie nun den passenden Link Eintrge entfernen oder
Webprotokoll leeren. Hierauf listet Ihnen Google smtliche gespeicherten Suchanfragen auf, die Sie mit einem Klick auf Eintrge entfernen bequem lschen.

46

CHIP SICHERHEIT

JETZT NEU!

FLATS

DABEI SEIN IN NUR

DREI SCHRITTEN
Gleich anmelden und Vorteile sichern: Bei CHIP
Digital gibt es jetzt alle Magazine aus dem Hause
CHIP als PDF zum sensationellen Flatrate-Preis bis zu 60% gnstiger!
1. ANMELDEN
Gehen Sie auf www.chip-digital.de,
klicken Sie auf Registrieren und
geben Sie eine Mailadresse sowie
ein Passwort an. Ihnen wird eine
Mail mit einem Aktivierungslink
geschickt, auf den Sie klicken.

2. AUSWHLEN
Loggen Sie sich bei CHIP
Digital ein und klicken Sie auf
den Reiter Flat. Whlen Sie
eine Flatrate aus etwa die
All-Inclusive-Flat mit allen
Magazinen aus dem Hause CHIP
oder die Foto-Flat mit allen
Foto-Magazinen.

3. ANSEHEN
Geben Sie die bentigten Daten
und die bevorzugte Bezahl-Art
ein. Klicken Sie abschlieend
auf Weiter. Nun bekommen Sie
automatisch jedes neue Magazin
aus Ihrem Flat-Angebot in Mein
Archiv gelegt.

www.chip-digital.de

EIN MONAT
GRATIS
UND ATTRAKTIVE
WILLKOMMENS-GESCHENKE
SICHERN

PC ABSICHERN
KOMFORT

SEHR
HOCH

PASSWORTSAFE
SWIPE-GESTE
BILDGESTE
SPRACHMUSTER

OPEN-ID

HOCH

FINGERABDRUCK
PASSWORT + MOBILCODE

VERHALTENSMUSTER

MITTEL

2D-GESICHTSERKENNUNG

PASSWORT-STICK

AUGENSCAN

NIEDRIG

PASSWORT +
BIOMETRIE

3D-GESICHTSERKENNUNG

PASSWORTALTERNATIVEN

SEHR
NIEDRIG

Wirklich sicher ist man

nur mit einer Kombination
zweier Verfahren, erklrt
Sicherheitsexperte
Sebastian Schreiber
von der Firma SySS. Hier
seine Einschtzung im Detail.

SICHERHEIT
SEHR NIEDRIG

NIEDRIG

MITTEL

HOCH

SEHR HOCH

Passwort adieu

Hackerattacken und Lcken in Hardware und Software bedrohen Ihre

Webidentitt. Was tun? Packen Sie das Passwort in einen Safe, auf einen
Stick oder verzichten Sie ganz darauf V O N C L A U D I O M L L E R
48

CHIP

DIE HUFIGSTEN PASSWRTER

in berhmter Sicherheitstipp stammt von dem Wissenschaftler Clifford Stoll: Behandle Dein Passwort wie Deine
Zahnbrste: Lass niemanden heran und wechsle es alle sechs
Monate. Doch mit Passworttipps ist es wie mit Glckskekssprchen. Der psychologische Wohlfhleffekt ihrer leicht bekmmlichen Weisheiten ist gro, ihre tatschliche Schutzwirkung
eher gering. Sie sind zu simpel fr eine komplexe Welt mit Tausenden Onlinebanken, -shops und Webdiensten, mit Millionen Mobilgerten, die alle per Passwort geschtzt werden wollen.
Denn anders als die Zahnbrste kann man Passwrter nicht ausschlielich zu Hause aufbewahren. Sie liegen immer auch in Datenbanken auf den Servern der Webdienste, manchmal nur schwach
verschlsselt, damit Sie sich dort einloggen knnen. Und diese Server werden gehackt. Sony hat es schon erwischt, genauso Yahoo,
Gamigo, LinkedIn oder zuletzt Evernote (siehe rechts). Ob man sein
Passwort kurz zuvor gendert oder es schon seit Jahren verwendet
hatte, ob man auf ein kurzes oder ein komplexes vertraute bei diesen Angriffen waren alle Passwrter betroffen.

FOTOS: ISTOCKPHOTO/ALUBALISH, JOSHUA BLAKE, DEEPBLUE4YOU, LIV FRIIS -LARSEN, HOMEBREDCORGI,

GABRIEL MOISA, OLGAYAKOVENKO ; CHRISTOPH SCHMIDT; THINKSTOCK/ISTOCKPHOTO

Hacker sind mindestens so clever wie Sie

Ein sicheres, aber leicht zu merkendes Kennwort zu whlen, ist leicht

wenn man die Tricks der Hacker kennt. Verwenden Sie keine echten Wrter, nicht einmal dann, wenn Sie etwa das i durch eine 1
oder das E durch eine 3 ersetzen. Bei Angriffen mit einem festen
Passwortbestand (Wrterbuchattacken) probieren Passwortknacker
inzwischen selbst diese Varianten automatisiert durch. Auch zu kurz
sollte das Kennwort nicht sein. Denn sogar kryptische Zeichenketten
knacken Brute-Force-Angriffe in weniger als einer Minute, wenn sie
nur sechs Zeichen lang sind (laut der Seite howsecureismypassword.
net). Und vor allem sollten Sie nie ein Passwort mehrfach verwenden.
Knackt der Hacker diesen Generalschlssel auf einer Seite, wren
dann auch Ihre anderen Accounts gefhrdet.
Eine leicht anwendbare Passwortstrategie verrt uns Markus Jakobsson, leitender Wissenschaftler fr Nutzersicherheit bei PayPal.
Sein Tipp: Kombinieren Sie ein Masterpasswort mit einem seitenspezifischen Passwort. Das Masterpasswort etwa Hc84# (keine Initialen oder Ihr Geburtsdatum!) ergnzen Sie mit einer fr jede Website
einzigartigen Zeichenkette. Vermeiden Sie dabei vorhersehbare Zeichen, etwa den Namen der Seite, sagt Jakobsson. Nehmen Sie stattdessen etwa Ozean*8 fr Facebook (abgeleitet vom Facebook-Blau
und der Zeichenzahl des Dienstes). Die seitenspezifischen Passwortteile knnen Sie aufschreiben und in der Brieftasche oder zu Hause
aufbewahren aber nie zusammen mit dem Masterpasswortteil.
hnlich kreativ sollten Sie auch die Sicherheitsfragen zur Passwortwiederherstellung beantworten, die oft Teil der Registrierung
bei einer Website sind. Ihre Lieblingsfarbe ist Rot? Das errt jeder Angreifer. Auch hier lsst sich die Jakobsson-Strategie anwenden.
Die Lieblingsfarbe knnte dann etwa lauten: Ma+Bordeauxrot
(Ma fr Mailaccount). Wenn Sie fr die Passwortwiederherstellung
zudem eine alternative Mailadresse angeben knnen, tun Sie das.
Am besten legen Sie sich eine ausschlielich fr diesen Zweck an.
Damit Ihnen im Worst-Case-Szenario, dem gehackten E-MailKonto, keine Kettenreaktion gekaperter Accounts droht, sollten Sie
dieses Konto besonders schtzen. Die Mailadresse ist nicht nur der
Anker Ihrer digitalen Identitt, sie ist bei vielen Webdiensten auch
der Nutzername und dient der Passwortwiederherstellung. Wer Ihren Mailaccount kontrolliert, kann sich also bei vielen Diensten pro-

ber zwlf Jahre sammelte Sicherheitsforscher Mark

Burnett Passwrter aus offenen Quellen, etwa per Google
durchsuchbare Datenbanken. Das sind die beliebtesten:
password

2000

hockey

dallas

123456

jordan

george

yankees

12345678

superman

charlie

123123

1234

harley

andrew

ashley

qwerty

1234567

michelle

666666

12345

fuckme

love

hello

dragon

hunter

sunshine

amanda

pussy

fuckyou

jessica

orange

baseball

trustno1

asshole

biteme

football

ranger

6969

freedom

letmein

buster

pepper

computer

monkey

thomas

daniel

sexy

696969

tigger

access

nicole

abc123

robert

123456789

thunder

mustang

soccer

654321

ginger

michael

fuck

joshua

heather

shadow

batman

maggie

hammer

master

test

starwars

summer

jennifer

pass

silver

corvette

william

taylor

111111

killer

17%

aller Nutzer verwenden reale

Worte oder Namen als Passwort

DIE GRSSTEN PASSWORT-HACKS

Sony PlayStation Network (77 Mio. Accounts):
Die Mutter aller Passworthacks bedrohte im April 2011
alle PSNetwork-Accounts. Neben Passwrtern konnten
die Angreifer auch Kreditkartendaten auslesen. Sony
nahm den Dienst daraufhin fr 24 Tage vom Netz.
Evernote (50 Mio. Accounts):
Im Mrz 2013 gab der Daten- und Notizspeicherdienst einen Hackerangriff bekannt, bei dem 50 Millionen Datenstze kompromittiert wurden.
Gamigo (8,24 Mio. Accounts):
Der deutsche Onlinespiele-Anbieter Gamigo wurde im
Februar 2012 gehackt, im Juli tauchten die Passwrter
mit den E-Mail-Adressen im Web auf. Bis heute die grte bekannte Passwortsammlung eines einzelnen Hacks.
LinkedIn (6,5 Mio. Accounts):
Das Businessnetzwerk wurde im Juni 2012 gehackt, die
Passwrter erschienen in einem russischen Webforum.
Yahoo (450.000 Accounts):
Die im Juli 2012 verffentlichten Passwrter von Yahoo
Voices waren unverschlsselt. Die Hacker konnten sie also auch bei Yahoo Mail direkt ausprobieren.
Twitter (250.000 Accounts):
Im Februar 2013, kurz nachdem chinesische Hackerangriffe auf groe US-Dienste wie Facebook, Twitter, Apple
oder die New York Times bekannt wurden, tauchten
250.000 Log-in-Datenstze zu Twitterkonten im Web auf.

CHIP SICHERHEIT

49

PC ABSICHERN
SO HUFIG WECHSELN NUTZER IHR PASSWORT
WCHENTLICH

blemlos die Login-Daten zuschicken lassen. Damit kauft er etwa im

Onlineshop ein, sieht Ihre Fotos im Webspeicher an oder tritt in Ihrem Namen in sozialen Netzwerken auf ein Horrorszenario.

E-Mail: Doppelt schtzt besser

Es ist vollkommen unverstndlich, warum viele E-Mail-Provider

(darunter GMX oder Microsoft) keine zweite Sicherheitsstufe neben
dem Passwort anbieten. Sicherheitsexperten wie Sebastian Schreiber
von SySS nennen das Single Point of Failure, denn wer das Passwort
kennt, kann den Account bernehmen. Nur wenige Anbieter untersttzen die Zwei-Faktor-Authentifizierung (siehe rechts). Neben dem
Passwort mssen Sie sich dabei mit einem meist achtstelligen Zahlencode authentifizieren. Den bekommen Sie entweder per SMS
zugeschickt oder erzeugen ihn mit einer App auf dem Smartphone.
Wer sich einmal so authentifiziert hat, kann das dabei verwendete
Gert als vertrauenswrdig definieren. Bei zuknftigen Logins an
diesem Gert gengt dann wieder das normale Passwort. Bei Anmeldeversuchen von einem unbekannten Gert bekommen Sie aber
eine SMS zugeschickt. Und so haben Sie gleichzeitig ein Warnsignal,
ob sich irgendjemand in Ihren Mailaccount hacken will.
In Google, neben Yahoo der einzige groe Mailanbieter mit ZweiFaktor-Authentifizierung, richten Sie die Methode so ein: Klicken Sie
im Gmail-Postfach auf den Pfeil rechts oben und whlen Sie Konto
| Sicherheit | Besttigung in zwei Schritten | Einstellungen. Ein
Assistent fhrt Sie durch die weiteren Schritte. Halten Sie dabei das
Handy parat, um den ersten Code per SMS zu empfangen. Bei anderen Anbietern finden Sie diese Einstellungen blicherweise im Nutzerkonto unter Sicherheit oder Kontoeinstellungen.
Eine zweite Sicherheitsstufe bedeutet natrlich weniger Komfort.
Zudem drfen Sie nicht vergessen, die hinterlegte Mobilnummer zu
ndern, wenn Sie mal eine neue haben. Eine bequemere Lsung sind
Passwortsafes, zum Beispiel LastPass (auf DVD ). LastPass speichert
Ihre Log-in-Daten in einem mit 256 Bit verschlsselten und per Masterpasswort geschtzten Onlinespeicher. ber synchronisierte
Browser-Plug-ins und Apps knnen Sie sich damit auf allen Gerten
in Ihre Webkonten einloggen. Auf Wunsch fllt LastPass die Log-inFelder automatisch aus. Das hat zwei Vorteile: Sie brauchen sich keine Passwrter mehr zu merken, und Keylogger-Trojaner knnen keine Passworteingaben von der Tastatur mitschneiden. Das groe Risiko von Passwortsafes: Wer Ihr Masterpasswort klaut (vom PC oder
vom Server des Anbieters), kennt all Ihre Log-in-Daten.
hnlich bequem sind OpenID-Verfahren, bei denen Sie sich eine
universell nutzbare persnliche Kennung generieren lassen knnen,
meist in Form einer URL. Diese URL geben Sie dann statt des Passworts ein. Ein echter Sicherheitsgewinn, denn jede Passworteingabe
ist ein Sicherheitsrisiko. OpenID-Lsungen sind elegant, wenn auch
nur so sicher wie die Server der Anbieter. Neben Google, Facebook
oder Mozilla gibt es auch unabhngige wie myOpenID. Der einzige
Nachteil: Sie knnen OpenIDs nur auf Seiten nutzen, die das Verfahren untersttzen und das sind aktuell nicht sehr viele.

MONATLICH
HALBJHRLICH
JHRLICH
SELTENER ALS JHRLICH
NIE

50

CHIP SICHERHEIT

= 20 %
= 12 %

= 8%

= 31 %

= 24 %

ZWEI-FAKTOR-AUTHENTIFIZIERUNG

Sehr sicher ist nur, wer mindestens zwei Verfahren nutzt, also das Passwort ergnzt. Das ist in der Regel ein Zahlencode,
den Sie per SMS oder App auf das Smartphone bekommen.

ANBIETER

GOOGLE-DIENSTE
MICROSOFT SKYDRIVE, XBOX
PAYPAL
FACEBOOK
DROPBOX
LASTPASS
YAHOO MAIL
WORDPRESS
DE-MAIL
APPLE ID, iCLOUD

METHODE

per SMS oder Authenticator-App

per SMS oder an alternative E-Mail-Adresse
per Codegenerator oder SMS
per SMS oder die Facebook-App
per SMS oder Googles Authenticator-App
per Googles Authenticator-App
per SMS oder Sicherheitsfrage
per Googles Authenticator-App
per SMS, neuem Personalausweis
oder Signaturkarte
per SMS (bislang nur USA, UK)

SICHERHEIT
KOMFORT

OPENID

Bei OpenID-Verfahren mssen Sie sich nicht mit Benutzername und

Passwort anmelden, sondern nur mit Ihrer OpenID, meist eine URL.
Noch untersttzen das nur wenige Seiten.

Windows: Passwort fr die Hosentasche

Mit den oben genannten Passwortregeln knnen Sie auch die Windows-Parole kreieren und so Ihren Rechner schtzen. Doch statt einer Eingabe ber die Tastatur sollten Sie einen USB-Stick als virtuellen Schlssel verwenden. Den knnen Sie wie einen echten immer
bei sich tragen. Seit Windows Vista bietet Microsoft dafr eine inte-

= 5%

SICHERHEIT
KOMFORT

SWIPE

Swipe-Gesten sind simpel, und

damit gefhrlich. Denn
die Touchgesten kann man bei
guten Lichtverhltnissen als Fingerspuren auf dem Display sehen. Dann muss man nur noch
die Richtung der Geste ausprobieren und das Gert
ist entsperrt.
SICHERHEIT
KOMFORT

PASSWORTSTICK

Windows per Passwortstick zu schtzen (oder bei BitLocker

ganze Partitionen zu verschlsseln), ist simpel man darf
den kleinen Stick blo nicht verlieren.

grierte Lsung an, allerdings nur in den Versionen Ultimate und

Enterprise beziehungsweise Windows 8 Pro. Mit der BitLocker-Laufwerksverschlsselung kodieren Sie Ihre Datenpartition und schtzen sie entweder per PIN-Code oder per Stick (unsere Empfehlung).
Der USB-Stick enthlt eine Schlsseldatei, die das Laufwerk entsperrt, sobald Sie den Rechner starten. Einrichten knnen Sie dies
unter Systemsteuerung | System und Sicherheit | BitLocker-Laufwerksverschlsselung. Folgen Sie nach einem Klick auf BitLocker
aktivieren der Einrichtungsroutine.
Wer BitLocker nicht nutzen kann, installiert das Tool USBLogon
(auf DVD ). In dem Tool whlen Sie den USB-Stick aus und legen fest,
ob der Log-in automatisch erfolgt, wenn der Stick angeschlossen ist,
und was der Rechner tun soll, wenn Sie den Stick abziehen (etwa
Standby, herunterfahren oder Bildschirmschoner). Der Stick meldet
Sie dann in Windows an. Lediglich auf die Festplattenverschlsselung von BitLocker mssen Sie verzichten. Mit dem Tool TrueCrypt
(auf DVD ) knnen Sie die aber selbst nachrsten.

Smartphone: Verrterische Schmierfinger

SICHERHEIT
KOMFORT

WINDOWS-8-BILDERPASSWORT

Drei verschiedene Gesten auf einem Foto sind fr Angreifer

schwer nachzuvollziehen. Fr User ist das auf Touchgerten
aber viel einfacher, als ein komplexes Passwort einzutippen.

SICHERHEIT
KOMFORT

Nach Webdiensten und dem Rechner bleibt jetzt nur noch, Ihre
Mobilgerte zu schtzen. Gegen einige ihrer Sicherheitslcken ist
man machtlos. Angreifer konnten etwa beim iPhone und beim
Samsung Galaxy S III ber die Notruffunktion im Sperrbildschirm
die Telefonsperre umgehen. Bei Mobilgerten sind Sie zudem davon
abhngig, welche Gertesicherung und Nutzerauthentifizierung sie
ab
b
berhaupt bieten. Biometrische Verfahren sind allerdings immer
noch kaum ber den Prototypstatus hinausgekommen.
no
Bei den meisten Mobilgerten knnen Sie neben der PIN-Nummer
der SIM-Karte nur einen Sperrcode anlegen eine vierstellige PIN
de
oder eine Swipe-Geste ber ein Raster von neun Punkten. Die ITod
Sicherheitsfirma Symantec fand bei einer Analyse gestohlener
Si
Smartphones heraus, dass 40 Prozent der Gerte mit dem Code
Sm
[1234] gesichert waren. Auch wenn ein Telefondieb nur drei Versuche
[123
fr die Eingabe hat, auf solche Codes kommt er vermutlich schnell.
f
hnlich unsicher sind die Gesten, die man ber die Fingerabdrcke
h
auf dem Display nachvollziehen kann (Smudge-Attack).
Microsoft ist da schon einen Schritt weiter. In Windows 8 knnen
Sie nmlich Bilderpasswrter nutzen. Dabei zeichnen Sie Gesten auf
einem Bild, etwa einen Punkt, einen Kreis oder eine Linie zwischen
zwei Bildelementen. Der Vorteil: Die Gesten sind hnlich sicher wie
komplexe Passwrter, lassen sich aber auf Touchgerten komfortabler eingeben. Zudem funktionieren sie auch am PC, wo Sie die
Gesten per Maus nachzeichnen. Und so richten Sie ein Bilderpasswort ein: ffnen Sie die Charm Bar [Win]+[C] und gehen Sie auf
Einstellungen | PC-Einstellungen | Benutzer. Dort kreieren Sie ein
Windows-Kennwort und klicken danach auf Bildcode erstellen.
Folgen Sie nun dem Einrichtungsassistenten. Unser Tipp: Verwenden Sie keine Punktgesten, sondern nur Linien und Kreise. Die sind
sicherer, da sie sowohl Positions- als auch Richtungsdaten enthalten.
Auerdem sollten Sie keine vorhersehbaren Gesten whlen, etwa einen Kreis um ein Gesicht. Vor allem am PC ist diese Methode ein
hervorragender Ersatz fr das Passwort, da hier nicht einmal Wischspuren auf einem Display zurckbleiben. Wer unsere Passwortstrategien befolgt, braucht die Parolen (im Gegensatz zur Zahnbrste)
auch nicht regelmig zu wechseln. Es sei denn, Passwort, Stick
oder Smartphone waren in falschen Hnden. Dann sollten Sie bei
allen Accounts das Kennwort ndern. Sicher ist sicher.

CHIP SICHERHEIT

51

PC ABSICHERN

Virenschutz

endlich inklusive
B
is zur Verffentlichung von Windows 7 waren im MicrosoftBetriebssystem berhaupt keine Security-Tools integriert
das gab immer wieder Anlass zu Kritik. Offensichtlich hat
das Unternehmen auf die Anwender gehrt, da zur Grundausstattung von Windows 7 mit Windows Defender ein AntiSpyware-Tool gehrte. Darber hinaus konnte der Virenscanner
Microsoft Security Essentials kostenlos heruntergeladen werden.
Windows Defender ist auch in Windows 8 mit an Bord. Und die aktuelle Version kmmert sich nicht nur um den Schutz vor Spyware,
sondern ist auch in der Lage, Viren abzuwehren.

Vollstndigen Systemcheck durchfhren

Um Windows Defender zu starten, ffnen Sie die Charm Bar, tippen

die drei Buchstaben def ein und klicken auf den Eintrag Windows
Defender. Windows 8 wechselt daraufhin in den Desktop-Modus
und ldt die Security-Komponente. berprfen Sie zunchst, ob der
Echtzeitschutz eingeschaltet ist, indem Sie im Register Einstellungen den gleichnamigen Eintrag whlen.
Wollen Sie einen vollstndigen Systemcheck durchfhren, bringen Sie das Register Startseite nach vorne, markieren unter ber-

52

CHIP SICHERHEIT

prfungsoptionen den Eintrag Vollstndig und besttigen mit

Jetzt berprfen. Windows Defender scannt daraufhin das gesamte System, was durchaus eine Stunde und lnger dauern kann.
Ist die Arbeit abgeschlossen und hat das Tool keine verdchtigen
Elemente entdeckt meldet sich die Software mit der Meldung Bei
der berprfung wurden keine Bedrohungen auf dem PC erkannt
zu Wort. Hat Windows Defender hingegen zweifelhafte Komponenten gefunden, macht Sie das Programm durch den Hinweis Von
Windows Defender wurde eine potenzielle Bedrohung auf dem PC
erkannt darauf aufmerksam. Bevor Sie diese Elemente per Klick auf
die Schaltflche PC bereinigen von der Platte putzen, sollten Sie
ber Details einblenden einen Blick darauf werfen.
Soll die gefundene Komponente gelscht werden, whlen Sie
Entfernen. Dies ist die richtige Wahl fr alle Elemente, bei denen
es sich offensichtlich um Schadsoftware handelt. Sind Sie sich hingegen nicht ganz sicher, entscheiden Sie sich fr Quarantne. In
diesem Fall verschiebt Windows Defender das Element in einen speziellen Sicherheitsbereich und blockt alle weiteren Zugriffe, ohne
die Datei aber zu entfernen. Nach drei Monaten so die Grundeinstellung wird die betreffende Datei dann endgltig gelscht. Sie

FOTO: GETTYIMAGES

Mit Windows Defender steht in Windows 8 erstmals ein fest ins Betriebssystem
integrierter Schutz vor Spyware und Viren zur Verfgung V O N A R T U R H O F F M A N N

TIPP
DOWNLOAD-BERWACHUNG

Schnell, vollstndig oder benutzerdefiniert?

Wie fast alle anderen Anti-Viren-Programme stellt Ihnen auch
Windows Defender, der in Windows 8 fest integrierte Schutzmechanismus, drei verschiedene Scanmodi zur Verfgung

Die Systemkomponente Smartscreen berwachte unter Windows 7 alle Dateien, die mit dem Internet Explorer geladen
wurden. Unter Windows 8 berprft die Funktion hingegen alle
Downloads unabhngig vom verwendeten Browser. An die
Einstellungen gelangen Sie, indem Sie in der Systemsteuerung auf System und Sicherheit | Wartungscenter klicken
und sich dann in der linken Spalte fr Windows SmartScreenEinstellungen ndern entscheiden. Aus Sicherheitsgrnden
ist der Schutzmechanismus in der Grundeinstellung so konfiguriert, dass vor dem Download einer unbekannten Datei die Genehmigung des Administrators erforderlich ist. Diese Vorgabe
sollten Sie nur dann ndern, wenn Sie ausschlielich vertrauenswrdige Dateien aus dem Internet laden.

berwacht

Erfahrene Anwender, die

ganz genau
wissen, was sie
tun, knnen den
SmartscreenFilter ein wenig
lockern

Dateitypen von berprfung ausschlieen

Entfernen, Quarantne oder zulassen?

Entdeckt Windows Defender potenziell gefhrliche Daten,

knnen Sie einen Blick auf die weiteren Informationen werfen
und dann entscheiden, was mit der Datei geschehen soll

Um die Dauer einer berprfung zu minimieren, knnen Sie dem

Programm mitteilen, welche Ordner und Dateitypen vom Scan auszuschlieen sind. In der Praxis hat es sich gezeigt, dass der Ausschluss eines Ordners nicht sinnvoll ist, da sich Schadsoftware berall einnisten kann. Das Ignorieren bestimmter Dateitypen ist hingegen mehr als empfehlenswert, da der Scanvorgang dadurch schneller vonstatten geht. Im Register Einstellungen klicken Sie in der
linken Spalte auf den Eintrag Ausgeschlossene Dateitypen.
Wie im Dialog bereits angegeben ist, schlieen Sie Dateitypen
ganz einfach anhand deren Endungen aus. Sollen JPG-Bilder vom
Programm ignoriert werden, tippen Sie JPG ein und klicken auf
Hinzufgen. Weitere potenzielle Streichkandidaten sind MP3-,
WMA- und WAV-Dateien, AVI- und MPG-Videos, die Grafikformate
BMP, TIFF und PNG sowie Iso-Abbilder. Haben Sie alle Dateitypen,
definiert, die Windows Defender ignorieren soll, sichern Sie die Liste
mit einem Klick auf nderungen speichern.

Prozesse von berprfung ausschlieen

Mageschneiderter Schutzmechanismus

In den Einstellungen des Security-Tools knnen Sie ganze

Verzeichnisse, spezielle Dateitypen und einzelne Hintergrundprozesse vom Scan ausschlieen
knnen diese Zeitspanne anpassen, indem Sie im Register Einstellungen auf Erweitert klicken und dann bei Dateien unter Quarantne entfernen nach eine andere Zeitspanne auswhlen.
Die dritte Option Zulassen whlen Sie dann, wenn Sie ganz
genau wissen, dass es sich bei der beanstandeten Komponente nicht
um eine Schadsoftware handelt. Haben Sie bei allen Eintrgen die
Empfohlene Aktion festgelegt, klicken Sie auf Aktionen anwenden, damit Windows Defender die Arbeit abschliet.

Die Einstellung Ausgeschlossene Prozesse richtet sich an versierte

Anwender, die wissen, welche Hintergrundprozesse vertrauenswrdig sind. Analog zu den ausgeschlossenen Dateitypen lassen sich
hier bestimmte Prozesse von der berprfung ausschlieen. Sinn
und Zweck dieser Funktion ist es, die Suche nach Viren zu beschleunigen. Um zu erfahren, welche Prozesse gerade aktiv sind, drcken
Sie die Tastenkombination [Alt]+[Strg]+[Entf], klicken auf TaskManager und bringen das Register Details nach vorne.
Besonders wichtig ist hier die Angabe in der Spalte Benutzername, da diese Information Aufschluss darber gibt, ob ein Prozess
vom User oder vom System gestartet wurde. Da aber auf jedem Windows-8-Computer andere Prozesse laufen, knnen wir Ihnen leider
keine Universallsung anbieten. Die Faustregel: Nur vom Benutzer
gestartete Prozesse, die im Zusammenhang mit einer bekannten
Software stehen, knnen vom Scan ausgeschlossen werden allerdings auf eigene Gefahr.

CHIP SICHERHEIT

53

PC ABSICHERN

Mehr Schutz durch die

Windows-Firewall

ie Windows 7 verfgt auch das aktuelle MicrosoftBetriebssystem ber zwei Firewalls. Auf der einen Seite
steht der seit Windows XP bekannte Schutzmechanismus, auf der anderen Seite wacht die als WindowsFirewall mit erweiterter Sicherheit bekannte Funktion
ber das System. Der Unterschied: Whrend die altbekannte Firewall
ausschlielich auf den eingehenden Datenverkehr achtet, ist der
zweite Schutzmechanismus in der Lage, ausgehende Datenpakete
gem der vom Nutzer vorgegebenen Richtlinien zu filtern. Dies soll
verhindern, dass auf dem PC installierte Apps Daten ohne das Wissen des Anwenders bertragen. Worauf Sie bei der Konfiguration der
Windows-Firewall achten mssen, erfahren Sie in diesem Beitrag.

So gehts

Windows-Firewall konfigurieren

Globale Einstellungen der Windows-Firewall Um von den

Schutzmechanismen zu profitieren, mssen Sie die Firewall an

Ihre Wnsche anpassen. Wechseln Sie zum Windows-Desktop, drcken Sie [Windows]+[X] und entscheiden Sie sich fr Systemsteuerung. Anschlieend klicken Sie auf System und Sicherheit | Windows-Firewall. Der folgende Dialog informiert Sie ber den aktuel-

54

CHIP SICHERHEIT

len Status der Firewall und zwar in Bezug auf Private Netzwerke
und Gast oder ffentliche Netzwerke. Der Unterschied: Erstgenannte Netzwerke werden von der Windows-Firewall als sicher angesehen, da sie bekannt und vertrauenswrdig sind.
In der linken Randspalte klicken Sie auf Windows-Firewall einoder ausschalten, um die Einstellungen fr die einzelnen Netzwerktypen einzusehen und anzupassen. Letzteres ist etwa dann erforderlich, wenn Sie nicht immer darauf aufmerksam gemacht werden wollen, dass die Windows-Firewall den Internetzugriff einer App
oder Anwendung geblockt hat. In diesem Fall klicken Sie auf die Option Benachrichtigen, wenn eine neue App von der Windows-Firewall blockiert wird, um das Hkchen zu entfernen. Die ebenfalls in
diesem Dialog untergebrachte Option Alle eingehenden Verbindungen blockieren, einschlielich der in der Liste der zugelassenen
Apps spielt dann eine Rolle, wenn Sie mit Ihrem Notebook ber eine ffentliche WLAN-Verbindung online gehen. Ist die Option aktiviert, werden die von Ihnen festgelegten Ausnahmeregeln bergangen, was die Sicherheit erhht. Mit einem Klick auf OK besttigen Sie die nderungen.
Wichtig: Das Ausschalten der Windows-Firewall ist nur dann ratsam, wenn Sie eine Desktop-Firewall eines Drittanbieters nutzen, die
von Windows nicht automatisch erkannt wird.

FOTOS: ISTOCKPHOTO

Wer verhindern will, dass Apps, Dienste und Funktionen nach Belieben Kontakt
mit dem Internet aufnehmen und Datenpakete senden und empfangen, muss die
Windows-Firewall entsprechend konfigurieren V O N A R T U R H O F F M A N N

INFO
SICHERHEIT NACH MASS

Zugriffsschutz manuell konfigurieren Starten Sie eine App

oder Anwendung, die Windows 8 unbekannt ist, macht Sie ein

Warnhinweis darauf aufmerksam, dass die Windows-Firewall einige
Funktionen dieser Anwendung blockiert hat. In diesem Fall klicken
Sie auf Zugriff zulassen, sofern Sie diesem Programm den Internetzugriff gestatten wollen. Ist Ihnen die Anwendung jedoch unbekannt, sollten Sie den Zugriffsversuch mit einem Klick auf Abbrechen unterbinden. Die Windows-Firewall merkt sich alle von Ihnen
getroffenen Entscheidungen, sodass nicht bei jedem Programmstart
nachgefragt wird. Diese Liste knnen Sie spter anpassen, etwa um
einem Programm, dessen Zugriff Sie aus Versehen unterbunden haben, die Kommunikation mit dem Internet doch noch zu erlauben.
Klicken Sie in der Systemsteuerung auf System und Sicherheit und entscheiden Sie sich dann fr den im Bereich WindowsFirewall untergebrachten Befehl Eine App oder ein Feature durch
die Windows-Firewall zulassen. Im folgenden Dialog erwartet Sie
eine Liste, in der alle zugelassenen Anwendungen und Funktionen
aufgefhrt sind. Anhand der Hkchen in den Spalten Privat und
ffentlich erkennen Sie zudem, welche Einstellungen die Windows-Firewall gewhlt hat. Diese Einstellungen knnen Sie jederzeit
anpassen, etwa um einer App, die nur in privaten Netzwerken Daten
versenden kann, den Vollzugriff zu gestatten. Dazu klicken Sie zunchst auf die Schaltflche Einstellungen ndern und fhren die
gewnschten nderungen durch.

Bei der Windows-Firewall mit erweiterter Sicherheit handelt es

sich um eine Komponente mit Netzwerkpfaduntersttzung. Der
Administrator kann fr jeden Netzwerkpfadtyp ein separates
Profil definieren, wobei die einzelnen Profile unterschiedliche
Richtlinien enthalten drfen. Beispielsweise kann die WindowsFirewall den eingehenden Datenverkehr fr eine bestimmte
App automatisch zulassen, sofern sich der Computer in einem
Domnennetzwerk befindet. Ist der Computer jedoch mit einem
ffentlichen oder privaten Netzwerk verbunden, wird dieser
Datenverkehr blockiert. Als Faustregel gilt: Fr ein ffentliches
Netzwerkprofil sollten strengere Firewall-Richtlinien gelten,
um es vor nicht-autorisierten Zugriffen zu schtzen.

Erweiterte Windows-Firewall einrichten Die mit Windows 7

neu eingefhrte, mit zustzlichen Funktionen ausgestattete

erweiterte Windows-Firewall bietet mehr Konfigurationsoptionen
und ist die Anlaufstelle, um Ports freizugeben, geschtzte Netzwerkverbindungen auszuwhlen und den Datenverkehr zu filtern. In
der Systemsteuerung klicken Sie auf System und Sicherheit,
whlen im Bereich Windows-Firewall den Eintrag Firewallstatus
berprfen und klicken dann in der linken Randspalte auf Erweiterte Einstellungen.
Im Hauptfenster informiert Sie die bersicht ber alle derzeit
gltigen Firewall-Regeln, wobei zwischen Domnenprofil, Privates Profil und ffentliches Profil unterschieden wird. Auf dem
Groteil aller privat genutzten PCs drfte das private Profil als aktiv
gekennzeichnet sein. Versierte Anwender, die die vorgegebenen Einstellungen ndern wollen, klicken auf Windows-Firewalleigenschaften und whlen im folgenden Dialog das Profil aus, das bearbeitet
werden soll, etwa Privates Profil. Mchten Sie eine der vorhandenen Netzwerkverbindungen etwa Bluetooth von der berwachung ausnehmen, klicken Sie bei Geschtzte Netzwerkverbindungen auf die Schaltflche Anpassen. Entfernen Sie das Hkchen
beim gewnschten Verbindungstyp und besttigen Sie mit OK.
ber die in der linken Randspalte untergebrachten Funktionen
Eingehende Regeln und Ausgehende Regeln knnen Sie konkrete Firewall-Regeln definieren. Standardmig wird mit Ausnahme des sogenannten Kernnetzwerkverkehrs der gesamte unaufgefordert eingehende Datenverkehr blockiert. Sie mssen benutzerdefinierte Regeln erstellen, damit auch andere Datenpakete durch
die Firewall gelassen werden. Darber hinaus wird in der Grundeinstellung der gesamte ausgehende Datenverkehr zugelassen. Sie
mssen Apps und Funktionen also explizit verbieten, Daten zu versenden. Hrt sich kompliziert an, ist es aber gar nicht, da Ihnen ein
Schritt-fr-Schritt-Assistent zur Seite steht.

3
CHIP SICHERHEIT

55

PC ABSICHERN

Sicher Surfen
per VPN-Tunnel

Sie mchten verhindern, dass Ihre IPAdresse bekannt wird und Unbefugte
in Ihren gesendeten und empfangenen
Datenpaketen herumschnffeln? Dann
brauchen Sie eine VPN-Verbindung
VON ARTUR HOFFMANN

er anonym und abhrsicher sein will, muss ber eine

VPN-Verbindung online gehen. Vereinfacht ausgedrckt
handelt es sich dabei um eine Software, die ber eine als
Tunnel bezeichnete, verschlsselte Verbindung den Kontakt zu einem Remote-Server herstellt, sodass der eigene
Rechner Teil dieses Netzwerks wird und fortan ber dessen IP-Adresse erreichbar ist. Diese Technik setzen etwa Unternehmen ein, um
Mitarbeitern von zuhause aus den Zugriff auf das Firmen-Netz zu
ermglichen. Netter Nebeneffekt: Luft die VPN-Verbindung ber einen im Ausland stehenden Server, lsst sich auch die Geo-IP-Sperre
umgehen, sodass Sie Web-Services, die eigentlich deutsche IPAdresse aussperren, dennoch nutzen knnen. Sie knnen hierfr unsere Vollversion Steganos Online Shield 365 nutzen. Wir zeigen Ihnen hier aber auch, welche anderen Mglichkeiten Sie noch haben.

56

CHIP SICHERHEIT

So gehts

VPN-Verbindung am PC einrichten

Bei einem VPN-Service anmelden Sie mssen nicht zwangslufig

VPN-Verbindung einrichten Das Einrichten einer VPN-Verbin-

eine Software nutzen, damit Sie eine VPN-Verbindung herstellen

und abhrsicher im Internet unterwegs sein knnen. Zum einen lassen sich unter Windows VPN-Verbindungen direkt ber das Netzwerk- und Freigabecenter konfigurieren. Zum anderen bieten zahlreiche VPN-Provider ihre Services an. In diesem Beispiel kommt Goldenfrog.com zum Einsatz. Allerdings funktioniert diese Anleitung
auch mit allen anderen VPN-Anbietern, die die Authentifizierung
ber die Kombination aus Benutzernamen und Passwort abwickeln.
Rufen Sie die Webseite www.goldenfrog.com auf und klicken Sie auf
vyprvpn. Auf der folgenden Seite klicken Sie auf Testen Sie vyprvpn gratis und ohne Risiko und entscheiden Sie sich fr einen der
beiden angebotenen Tarife, indem Sie auf Anmelden klicken und
die geforderten Daten angeben. Nach Abschluss der Registrierung
erhalten Sie ein Passwort, das Sie bei der Einrichtung der VPNVerbindung bentigen.

dung, die ber PPTP, L2TP/IPsec oder OpenVPN luft, ist nicht besonders kompliziert. Unter Windows 8 wechseln Sie zum Desktop,
drcken die Tasten [Windows]+[I], um die Einstellungen aufzurufen, und klicken auf Systemsteuerung | Netzwerk- und Freigabecen-

TIPP
VPN UNTER ANDROID UND IOS

Die Nutzung einer VPN-Verbindung ist nicht auf Computer beschrnkt. Auch mit Android- und iOS-Gerten knnen Sie per
VPN online gehen. Eine spezielle App ist dazu nicht erforderlich, da beide Mobil-Betriebssysteme ab Werk in der Lage sind,
Daten ber einen VPN-Tunnel zu senden.
Android: Wechseln Sie zu den Einstellungen, tippen Sie unter
Drahtlos & Netzwerke auf Mehr... und whlen Sie VPN.
Besttigen Sie den Hinweis mit OK und richten Sie eine
Sperre ein. Wieder im Dialog VPN tippen Sie auf das Plussymbol und geben die geforderten Angaben ein. Der Name
ist frei whlbar, bei Serveradresse tippen Sie etwa die IPAdresse des Servers in Austin ein. Sichern Sie die nderungen
mit Speichern, whlen Sie die neue Verbindung aus, geben
Sie die Zugangsdaten ein und tippen Sie auf Verbinden.

Tarif auswhlen

Stellvertretend fr alle Anbieter von VPN-Services kommt in diesem

Workshop Goldenfrog.com zum Einsatz

iOS: Tippen Sie auf Einstellungen | VPN | VPN hinzufgen.

Aktivieren Sie das Register L2TP und geben Sie die geforderten Informationen an: Server ist die VPN-Serveradresse,
bei Account tippen Sie Ihren Benutzernamen ein, das Passwort geben Sie bei Kennwort ein und als Shared Secret
verwenden Sie thisisourkey. Sichern Sie die Einstellungen
und aktivieren Sie danach VPN, um sicher zu surfen.

Verbindung mit dem Arbeitsplatz herstellen

Im Netzwerk- und Freigabecenter von Windows 8 mssen Sie eine

neue Internetverbindung anlegen, um VPN nutzen zu knnen

ter. Klicken Sie auf Neue Verbindung oder neues Netzwerk einrichten, markieren Sie Verbindung mit dem Arbeitsplatz herstellen und fahren Sie mit Weiter fort. Im folgenden Dialog klicken
Sie auf die Option Die Internetverbindung (VPN) verwenden. Nun
steht die Eingabe der Zugangsdaten an. In diesem Beispiel tippen Sie
bei Internetadresse den Hostnamen des VPN-Servers ein, ber
den Sie online gehen mchten. Goldenfrog.com untersttzt derzeit
21 solcher Server, wir entscheiden uns in diesem Beispiel fr den
VPN-Server in Austin, Texas us3.vpn.goldenfrog.com. Bei Zielname tippen Sie eine eindeutige Bezeichnung ein, zum Beispiel VPN
Austin, Texas. Aktivieren Sie die Option Anmeldedaten speichern
und schlieen Sie den Dialog mit einem Klick auf Erstellen, um
die VPN-Verbindung zu konfigurieren.

VPN-Verbindung herstellen

Unter Windows 8 whlen Sie die gewnschte VPN-Verbindung

aus, indem Sie die rechte Seitenleiste aktivieren, auf eine der
Verbindungen klicken und den Button Verbinden drcken

VPN unter
Windows 7

Klicken Sie das in

der Systray platzierte NetzwerkIcon an, um die
Liste aller eingerichteten VPNVerbindungen zu
ffnen

VPN-Verbindung herstellen Ebenso einfach wie das Einrichten

ist auch das Herstellen einer VPN-Verbindung. Unter Windows 8

wechseln Sie zum Desktop und klicken das in der Systray platzierte
Netzwerk-Icon an, um den Dialog Netzwerke zu ffnen. Unter
Verbindungen klicken Sie erst auf den Namen der soeben eingerichteten VPN-Verbindung, dann auf Verbinden. Nutzen Sie Windows 7, klicken Sie das Netzwerk-Icon an und whlen die gewnschte
VPN-Verbindung aus der Liste.
Geben Sie die Zugangsdaten ein, die Ihnen vom VPN-Anbieter
zur Verfgung gestellt wurden, und klicken Sie auf OK. In diesem
Beispiel ist der Benutzername eine E-Mail-Adresse. Hat alles
geklappt, steht die VPN-Verbindung, und Sie knnen nun abhrsicher und unerkannt im Web surfen. Und wie bereits erwhnt, wird
dabei auch die Geo-IP-Filterung von Angeboten wie MTV.com, Vevo.
com und YouTube umgangen. Das knnen Sie selbst berprfen, indem Sie etwa die Webseite www.gaijin.at aufrufen, in der oberen
Leiste auf Online-Toolsklicken und sich unter Netzwerk & EMail fr Geo IP Locator entscheiden. Im folgenden Fenster
erscheint bei IP-Adresse / Hostname Ihre derzeitige IP-Adresse.
Aktivieren Sie die Option Landkarte zeigen und klicken Sie auf
Position suchen. Das Ergebnis: Da Sie mit der IP-Adresse des VPNServers in Austin im Internet unterwegs sind, zeigt der Service an,
dass Ihr Computer in Texas steht.

CHIP SICHERHEIT

57

PC ABSICHERN

VPN-ZUGANG
ber die Fritzbox

Besitzer einer Fritzbox knnen VPN-Verbindungen direkt ber den AVM-Router laufen
lassen. Wir zeigen Ihnen, wie Sie eine solche
VPN-Verbindung einrichten und sicher bers
Web auf Ihr Heimnetz zugreifen

Software laden und installieren ffnen Sie Ihren Web-Browser,

besuchen Sie das VPN-Portal von AVM (www.avm.de/vpn)und laden Sie die Datei FRITZ!Box-Fernzugang einrichten im Bereich
Aktuelle Downloads herunter. Sie ist rund 6 MByte gro. Anschlieend installieren und starten Sie die Software. Whlen Sie Neu,
markieren Sie Fernzugang fr einen Benutzer einrichten und klicken Sie auf Weiter. Nun steht die Auswahl des Gerts an, mit dem
Sie per VPN-Verbindung ber die Fritzbox online gehen mchten.
Markieren Sie PC mit FRITZ!Fernzugang, klicken Sie auf Weiter,
geben Sie Ihre E-Mail-Adresse ein und fahren Sie mit Weiter fort.

Grundlegende Konfiguration Im nchsten Schritt mssen Sie

den DynDNS-Domainnamen Ihrer Fritzbox eingeben. Fllt Ihnen
der DynDNS-Domainname nicht ein, klicken Sie in der Software auf
die Schaltflche Zur FRITZ!Box-Oberflche, um die Konfigurationsmaske zu laden. Whlen Sie dann Internet | Freigaben und
bringen Sie die Registerkarte Dynamic DNS nach vorne. Haben Sie
den MyFritz!-Service eingerichtet, knnen Sie auch die Adresse Ihrer FRITZ!Box verwenden. Die finden Sie in der Fritzbox-Konfigurationsmaske auf der Registerkarte FRITZ!Box-Dienste unter Internet | Freigaben. Unabhngig davon, ob DynDNS-Anbieter oder MyFritz! Sie tippen den entsprechenden DynDNS-Domainnamen in
den Dialog Erreichbarkeit Ihrer FRITZ!Box im Internet ein und
fahren mit Weiter fort. Nun steht die Angabe des IP-Netzwerks Ihrer Fritzbox an. Haben Sie die ursprngliche IP-Konfiguration der
Fritzbox nicht gendert (IP: 192.168.178.1 / Subnetz: 255.255.255.0),
whlen Sie Werkseinstellung der FRITZ!Box fr das IP-Netzwerk
bernehmen. Ansonsten klicken Sie auf Anderes IP-Netzwerk verwenden und geben die IP-Adresse sowie die zugehrige Subnetzmaske ein. Diese Informationen ermitteln Sie ber die Konfigurationsoberflche der Fritzbox: Klicken Sie auf Heimnetz | Netzwerk,
bringen Sie die Registerkarte Netzwerkeinstellungen nach vorne
und klicken Sie unter IP-Adressen auf IPv4-Adressen.
Wieder im Einrichtungsassistenten, tippen Sie bei IP-Adresse
des Benutzers im Netz der FRITZ!Box die IP-Adresse ein, die dem PC
zugewiesen werden soll, mit dem Sie die VPN-Verbindung herstellen
mchten. In diesem Beispiel whlen wir 192.168.178.222. Sollen alle
bertragenen Daten verschlsselt werden, aktivieren Sie die Option
Alle Daten ber den VPN-Tunnel senden und klicken auf Weiter.

VPN-Konfigurationsdateien Im Programm FRITZ!Box-Fernzu-

gang einrichten markieren Sie Das Verzeichnis anzeigen, das

die Konfigurationsdateien enthlt und klicken auf Fertig stellen.

58

CHIP SICHERHEIT

Nun wird der Ordner, der die Datei fritzbox_<Domainname>.cfg

und einen Unterordner enthlt, der nach der zuvor eingetragenen
E-Mail-Adresse benannt ist, geffnet. Die im Unterordner vorhandene Datei vpnuser_<E-Mail>.cfg bentigen Sie fr die Einrichtung des PCs, der VPN-Verbindungen zur Fritzbox herstellen soll.

box Bescheid wei, dass ein Gert per VPN-Verbindung ins Internet gehen darf, mssen Sie die soeben angelegte VPN-Konfigurationsdatei in den Router laden. Rufen Sie die Bedienoberflche der
Fritzbox auf, klicken Sie unter Internet auf Freigaben und bringen Sie die Registerkarte VPN nach vorne. Klicken Sie auf die
Schaltflche Durchsuchen, wechseln Sie im folgenden Dialog zum
Ordner, in dem die VPN-Einstellungen gespeichert sind, markieren
Sie die Datei fritzbox_<DynDNS-Domainname>.cfg und klicken
Sie auf ffnen. Zurck in der Fritzbox-Konfigurationsmaske
klicken Sie auf VPN-Einstellungen importieren und besttigen
den folgenden Hinweis mit OK. Hat alles geklappt, taucht ein
neuer Eintrag in der Liste der VPN-Verbindungen auf.

VPN-Konfiguration in Fritzbox laden Damit nun auch die Fritz-

PC fr VPN-Nutzung konfigurieren Nun richten Sie den PC ein.

Wichtig: Der PC darf keine IP-Adresse aus dem Heimnetzwerk verwenden. Laden Sie aus dem AVM-VPN-Portal (www.avm.de/vpn) das
rund 8 MByte groe Programm FRITZ!Fernzugang herunter und
installieren Sie es auf dem PC, auf dem Sie den VPN-Zugang einrichten. Starten Sie den PC nach dem Einspielen des Tools neu. Nach dem
ffnen von FRITZ!Fernzugang klicken Sie auf Weiter, um die gerade angelegte VPN-Verbindungsdatei zu importieren. Im Dialog Datei ffnen wechseln Sie zum Speicherordner der CFG-Datei, markieren das Element, whlen die Datei vpnuser_<E-Mail>.cfg aus und
klicken auf ffnen und Fertig stellen. Mchten Sie die VPN-Verbindungen mit einem Kennwort schtzen, knnen Sie dies tun, indem Sie das Passwort zweimal eintippen und mit OK besttigen.

VPN-Verbindung herstellen Um eine VPN-Verbindung herzu-

Auf das Heimnetzwerk zugreifen Nun haben Sie auch Zugriff

stellen, gehen Sie online, starten das Tool FRITZ!Fernzugang und

markieren das Symbol, das den DynDNS-Hostnamen Ihrer Fritzbox
trgt. Nach einem Klick auf Aufbau stellt das Programm die VPNVerbindung her. Haben Sie sich im vorigen Schritt fr den Kennwortschutz entschieden, mssen Sie das Passwort eintippen und
mit OK besttigen. Steht die VPN-Verbindung, testen Sie den Zugriff. ffnen Sie den Browser und tippen Sie die IP-Adresse, unter der
Sie die Konfigurationsmaske der Fritzbox ffnen, in die Adressleiste
ein. Die Eingabe von fritz.box funktioniert in diesem Fall nicht!

auf die in Ihrem Heim-LAN freigegebenen Netzwerk-Ressourcen. Da der PC, ber den Sie per VPN auf das Heimnetzwerk zugreifen, diese Elemente nicht im Netzwerk-Browser anzeigen kann, mssen Sie die manuelle Variante whlen. ffnen Sie den WindowsExplorer, tippen Sie die IP-Adresse eines im Netzwerk eingebundenen PCs, Servers oder NAS-Systems in die Adresszeile ein und besttigen Sie mit der Eingabe-Taste. Ist der PC im Heimnetzwerk beispielsweise unter der IP-Adresse 192.168.178.100 zu erreichen, tippen Sie \\192.168.178.100 ein. Ist die Netzwerk-Ressource mit
einem Passwort geschtzt, mssen Sie Benutzernamen und Kennwort eingeben, bevor Sie Zugriff darauf erhalten.

CHIP SICHERHEIT

59

SCHNFFLER AUSSPERREN

Sichere E-Mails dank

Verschlsselung

icht nur Geheimdienste wie die NSA interessieren sich fr

die Inhalte von E-Mails. Auch Google scannt alle Nachrichten, die ber den kostenlosen Dienst Gmail versendet werden, um passende Werbung einzublenden. Doch Sie sind
diesem Treiben nicht schutzlos ausgeliefert. Schlielich
steht es Ihnen frei, Ihre E-Mails zu verschlsseln. Das ist weder kompliziert noch zeitaufwendig. Wie Sie dabei vorgehen, zeigen wir Ihnen in diesem Beitrag. Zum Verschlsseln verwenden Sie die aktuellste Beta-Version der Open-Source-Software GNU Privacy Guard
for Windows kurz Gpg4win (auf DVD ).

So gehts

E-Mail-Kommunikation verschlsseln

Eigenes OpenPGP-Zertifikat anlegen Installieren Sie Gpg4win

von unserer DVD, indem Sie dem Einrichtungsassistenten folgen

und sich fr die Standardoptionen entscheiden. Nach Abschluss der
Installation starten Sie die Komponente Kleopatra, die fr die Verwaltung der Zertifikate zustndig ist. Ihre erste Aufgabe besteht darin, ein Zertifikat anzulegen. Dazu klicken Sie auf den Menbefehl
Datei und entscheiden sich fr Neues Zertifikat. Im folgenden
Dialog Format des Zertifikats whlen klicken Sie auf Persnliches

60

CHIP SICHERHEIT

OpenPGP-Schlsselpaar erzeugen. Geben Sie danach Ihren Namen

und Ihre E-Mail-Adresse ein. Mchten Sie mit mehreren Zertifikaten
arbeiten, steht es Ihnen offen, unter Kommentar einen Hinweis
einzutragen, etwa Privat. Klicken Sie auf Weiter, um fortzufahren, werfen Sie einen Blick auf die Angaben und beenden Sie den
Vorgang mit einem Klick auf Schlssel erzeugen.
Nun geben Sie die sogenannte Passphrase ein. Dabei handelt es
sich um das Kennwort, das so etwas wie den persnlichen Teil des
Schlsselpaares darstellt. Tippen Sie diese Passphrase in den entsprechenden Dialog. Wie sicher das Kennwort ist, zeigt Ihnen ein
Blick auf das Balkendiagramm bei Qualitt:. Zur Besttigung tippen Sie die Passphrase ein zweites Mal ein. Hat alles geklappt, ffnet
sich der Dialog Schlsselpaar erfolgreich erzeugt. In diesem Dialog ist der 40-stellige Fingerabdruck Ihres OpenPGP-Zertifikats
aufgefhrt. Klicken Sie auf Sicherheitskopie Ihres Schlsselpaares
erstellen, whlen Sie den Speicherordner aus, geben Sie einen Dateinamen an und klicken Sie auf OK, um das Schlsselpaar lokal
zu speichern. Aus Sicherheitsgrnden ist es ratsam, die Datei anschlieend auf einen USB-Stick zu verschieben und das Speichermedium an einem sicheren Ort aufzubewahren.
Schlieen Sie den Assistenten mit Fertigstellen. In Kleopatra
ist in der Rubrik Meine Zertifikate das eben angelegte Element

FOTO: FOTOLIA

Wer verhindern will, dass Unbefugte in privaten E-Mails herumschnffeln,

sollte seine elektronische Post mit Gpg4win verschlsseln. Wie einfach das geht,
zeigt Ihnen dieser Workshop V O N A R T U R H O F F M A N N

INFO
GPG4WIN UND OUTLOOK 2013

aufgefhrt. Klicken Sie den Eintrag doppelt an, um einen Blick auf
die Details zu werfen. An dieser Stelle knnen Sie brigens auch das
Ablaufdatum des Zertifikats ndern.

ffentliche Zertifikate ex- und importieren Damit Personen

mit verschlsselten E-Mails kommunizieren knnen, mssen sie

im Besitz der ffentlichen Zertifikate sein. Der komfortabelste Weg,
die ffentlichen Zertifikate auszutauschen, fhrt ber den E-MailVersand. ffnen Sie die Komponente Kleopatra, markieren Sie das
Zertifikat, dessen ffentlichen Teil Sie versenden wollen, klicken Sie
auf die Schaltflche Zertifikate exportieren und speichern Sie das
Zertifikat als ASC-Datei. Diese Datei knnen Sie mit jedem beliebigen Texteditor ffnen, um einen Blick auf Ihren ffentlichen Schlssel zu werfen. Beim E-Mail-Versand des Zertifikats stehen Ihnen zwei
Wege offen: Sie knnen den kompletten Text, der mit -----BEGIN
PGP PUBLIC KEY BLOCK----- beginnt und mit -----END PGP PUBLIC
KEY BLOCK----- endet, kopieren und in die E-Mail als Text einfgen
oder Sie versenden die zuvor erzeugte ASC-Datei als Anlage. Die
zweite Mglichkeit, um ffentliche Zertifikate zu publizieren, fhrt
ber OpenPGP-Zertifikatsserver. Der Vorteil: Sie mssen das Zertifikat nicht an alle Personen per E-Mail versenden. Allerdings wird bei
diesem Vorgang Ihre E-Mail-Adresse bekannt, was zu einem erhhten Spam-Aufkommen fhren kann.
Um ein ffentliches Zertifikat auf einem OpenPGP-Zertifikatsserver zu publizieren, markieren Sie in Kleopatra das gewnschte Zertifikat und klicken auf Datei | Zertifikate zu einem Server exportieren. Die folgenden beiden Warnmeldungen knnen Sie mit Fortsetzen ignorieren, da die Zertifikate automatisch auf keys.gnupg.
net hochgeladen und an alle anderen OpenPGP-Zertifikatsserver
weitergegeben werden. Schlieen Sie den Dialog OpenPGP-Zertifikate erfolgreich exportiert mit OK. Sie knnen nachprfen, ob
der Vorgang funktioniert hat, indem Sie nach Ihrem Zertifikat suchen. Dazu klicken Sie auf Einstellungen | Kleopatra einrichten,
markieren Zertifikatsserver und klicken auf Neu. Nun wird automatisch der bereits angesprochene Server keys.gnupg.net hinzugefgt, sodass Sie den Dialog mit OK schlieen knnen. Klicken
Sie danach auf Zertifikate auf Server suchen, tippen Sie Ihre
E-Mail-Adresse ein und klicken Sie auf Suchen.

Damit Sie Ihre mit Outlook 2013 abgewickelte E-Mail-Kommunikation abhrsicher machen knnen, mssen Sie die Beta-Version des kostenlosen Outlook Privacy Plugins herunterladen
und installieren. Da es aufgrund der fehlenden Zertifizierung zu
Problemen kommen kann, klicken Sie die ZIP-Datei vor dem
Entpacken mit der rechten Maustaste an, whlen Eigenschaften und klicken auf Zulassen. Anschlieend extrahieren und
installieren Sie die Erweiterung wie gewohnt. Der Zugriff auf
die Funktionen zum Ver- und Entschlsseln erfolgt ber die
entsprechenden Icons, die direkt im Nachrichtenfenster integriert sind. Die Verwaltung der Zertifikate erledigen Sie wie im
Workshop beschrieben mit Kleopatra.

Verschlsselte E-Mails senden und empfangen Um den ver-

schlsselten Mail-Austausch zu starten, ffnen Sie Ihr E-MailProgramm. Die aktuellste Version von Gpg4win untersttzt unter
anderem Thunderbird, ClawsMail und Outlook bis einschlielich
Version 2010, die wir in diesem Workshop einsetzen. Arbeiten Sie bereits mit Outlook 2013, knnen Sie von http://code.google.com/p/
outlook-privacy-plugin das kostenlose Outlook Privacy Plugin laden
und einspielen (siehe Kasten Gpg4win und Outlook 2013).
Klicken Sie auf Neue E-Mail-Nachricht, geben Sie Empfnger
und Betreff ein und tippen Sie die Nachricht. Bringen Sie danach die
Registerkarte GpgOL nach vorne, klicken Sie auf die Schaltflche
Verschlsseln und versenden Sie Ihre E-Mail. Wichtig: Versenden
Sie Ihre E-Mail im Format Nur Text. Um eine verschlsselte E-Mail
zu dechiffrieren, mssen Sie zunchst das ffentliche Zertifikat des
Absenders wie im vorigen Abschnitt beschrieben suchen und in
Kleopatra importieren. Anschlieend ffnen Sie die E-Mail, bringen das Register GpgOL nach vorne und klicken auf Entschlsseln, um die Nachricht zu lesen.

CHIP SICHERHEIT

61

SCHNFFLER AUSSPERREN

Chatten ohne Angst vor

Mithrern

Keine Lust, dass Ihnen Schnffler beim Chatten ber die Schulter sehen?
Dann verabschieden Sie sich von den gngigen Programmen, Apps und Services
und kommunizieren Sie knftig ber Cryptocat V O N A R T U R H O F F M A N N

ass Skype, WhatsApp, Facebook Chat und Konsorten alles

andere als abhrsicher sind, hat sich inzwischen herumgesprochen. Und auch um die Sicherheit von anderen Instant
Messengern und VoIP-Services drfte es hnlich schlecht bestellt sein. Doch die abhrsichere Kommunikation ber das
Internet ist keine Utopie, wie Cryptocat zeigt.
Das Grundprinzip der Open-Source-Lsung, die direkt im Browser luft: Die Kommunikation, die auf dem Protokoll Off-the-RecordMessaging (OTR) basiert, wird clientseitig verschlsselt und ausschlielich ber Server bertragen, die als vertrauenswrdig gelten.
Zudem wird fr jede Chat-Session ein neues, zuflliges Schlsselpaar generiert, was die Sicherheit weiter erhht.
Der einzige Nachteil dieser Variante: Cryptocat funktioniert nicht
mit dem Internet Explorer, was etwa Besitzer eines Windows-RTTablets von der Nutzung ausschliet. Untersttzt werden nur die
Browser Google Chrome, Mozilla Firefox und Apple Safari. Fr Macs
steht sogar eine native Cryptocat-App im Apple-eigenen Store
kostenlos zur Verfgung, die das Betriebssystem Mac OS X 10.7 oder
hher und eine 64-Bit-CPU voraussetzt. Die pfiffige App bietet eine
ganze Reihe interessanter Zusatzfunktionen, darunter eine automatische Rechtschreibprfung und die Mglichkeit, Emoticons und
Emojis in den Chats zu verwenden.

62

CHIP SICHERHEIT

Erwhnenswert ist in diesem Zusammenhang allerdings, dass es

dem IT-Experten Steve Thomas (http://tobtu.com/decryptocat.php)
Mitte 2013 gelungen ist, die Verschlsselung mit einer Meet-in-theMiddle-Attacke auszuhebeln und auf diese Weise an die privaten
Schlssel der Chatter zu gelangen. Betroffen waren die CryptocatVersionen 1.1.147 bis 2.0.41. Inzwischen ist dieses Sicherheitsleck allerdings gestopft, sodass keine Gefahr besteht, dass Dritte an die persnlichen Schlssel gelangen.
Und auch das Abhren durch direkten Zugriff auf den Server ist
nahezu unmglich, da Cryptocat Kunde beim schwedischen Provider Bahnhof (www.bahnhof.net) ist, der einen Teil seiner IT-Infrastruktur in einem ehemaligen Atomschutzbunker betreibt. Davon
haben bereits Wikileaks und The Pirate Bay profitiert.

So gehts

Abhrsicher chatten mit Cryptocat

Cryptocat im Browser installieren Rufen Sie in Ihrem Browser

die Homepage von Cryptocat auf: https://crypto.cat/. Wir arbeiten in diesem Workshop mit der aktuellsten Version von Google
Chrome unter Windows 8.1 Preview. Auf der Startseite des Services
klicken Sie auf die Schaltflche Download Cryptocat for Chrome

INFO
SICHER CHATTEN UNTER ANDROID

und besttigen den daraufhin angezeigten Dialog Zu Chrome hinzufgen mit einem Klick auf Hinzufgen. Damit laden Sie die
Erweiterung herunter und initialisieren sie.
Anschlieend klicken Sie im Chrome-Browser auf die Schaltflche Einstellungen, whlen Tools | App-Verknpfungen erstellen
und besttigen mit Erstellen, dass Verknpfungen auf dem Desktop und in der Taskleiste angelegt werden sollen. Wechseln Sie danach zu Ihren Apps und starten Sie Cryptocat, um mit dem ersten
Chat zu beginnen. Die Installation der Cryptocat-Erweiterung ist unter Firefox und Safari ebenso einfach wie unter Chrome.

Gruppenchat mit mehreren Personen Mchten Sie sich erst ein-

mal mit dem System und den grundlegenden Funktionen vertraut machen, sollten Sie bei Name der Konversation den Begriff
lobby eintragen und auf verbinden klicken, um dem ffentlichen Gruppenchat beizutreten. Dabei erzeugt die App auch gleich
den Sicherheitsschlssel, der nur fr diese Chat-Session gilt.
Die Bedienung ist kinderleicht: Sie tippen Ihren Textbeitrag in
das Eingabefeld und schicken ihn durch einen Druck auf die Eingabetaste ab. Wollen Sie mit einer Person ein Privatgesprch fhren,
klicken Sie auf den Namen des entsprechenden Chatters.
Interessant ist auch, dass Sie strende Chatter und die gibt es in
der ffentlichen Lobby zuhauf ganz einfach stummschalten knnen. Dazu klicken Sie auf das Pfeilsymbol neben dem Namen der
Person und entscheiden sich fr die Option Block. Im gleichen
Dialog ist auch der Befehl Verschlsselte Datei senden untergebracht. Damit knnen Sie Ihrem Gesprchspartner beliebige ZIPDateien und Grafiken zukommen lassen sofern sie die Maximalgre von fnf MByte nicht bersteigen. Sie klicken im gleichnamigen Dialog auf Verschlsselte Datei senden, whlen die gewnschte Datei aus und klicken auf ffnen. ber die Option Info
anzeigen knnen Sie einen Blick auf die Schlssel fr private und
ffentliche Unterhaltungen werfen.
Wollen Sie keine neuen Diskussionsbetrge verpassen, sollten Sie
die Benachrichtigungen, die in der Grundeinstellung ausgeschaltet
sind, aktivieren. Dazu klicken Sie auf das Sprechblasen-Symbol und/
oder auf das Lautsprecher-Symbol, um die Desktop- beziehungsweise Audio-Benachrichtigungen einzuschalten. Sobald sich eine Person zu Wort meldet, werden Sie per Popup-Fenster und Tonsignal
darauf aufmerksam gemacht. Um den Chat-Room zu verlassen, klicken Sie in der oberen Icon-Leiste auf das Auswerfen-Symbol.

Fr Android-Smartphones und -Tablets gibt es inzwischen eine

ganze Reihe kostenloser Apps, die sich der sicheren Kommunikation verschrieben haben. Besonders groer Beliebtheit erfreut sich Gibberbot: Free Secure Chat. Die App untersttzt alle
Chat-Services, die auf den Protokollen Jabber und XMPP basieren. Dazu gehren unter anderem Facebook Chat, Google Talk
und WhatsApp. Wie Cryptocat vertraut auch Gibberbot bei der
Verschlsselung auf das Protokoll Off-the-Record-Messaging
(OTR). Einzige Voraussetzung ist, dass auch Ihre Chat-Partner
eine OTR-kompatible App einsetzen oder eine Software wie
Adium (Mac), Jitsi (Linux) oder Pidgin (Windows) nutzen. Zudem
untersttzt Gibberbot auch die Tor-Proxy-App Orbot.

Eigenen Chat-Room erffnen Weil Diskussionen mit fremden

Personen in der ffentlichen Lobby meist schnell langweilig werden, sollten Sie einen eigenen Chat-Room anlegen und Freunde und
Bekannte, die Cryptocat ebenfalls nutzen, zum Plaudern einladen.
Starten Sie die App so, wie im vorigen Schritt gezeigt, geben Sie bei
Name der Konversation die Bezeichnung Ihres eigenen ChatRooms ein, whlen Sie einen Bildschirmnamen aus und klicken Sie
danach auf die Schaltflche verbinden. Anschlieend teilen Sie
allen Personen, die Sie zum Chatten einladen wollen, den Namen
des Chat-Rooms mit, damit sie sich einloggen knnen. Im Idealfall
versenden Sie diese Infos in Form einer verschlsselten E-Mail.
Nachdem sich die Teilnehmer angemeldet haben, stehen ihnen alle
in Schritt 2 beschriebenen Funktionen zur Verfgung. Und wer gerne in mehreren Chat-Rooms diskutieren will, startet die CryptocatErweiterung einfach ein weiteres Mal.

CHIP SICHERHEIT

63

SCHNFFLER AUSSPERREN

Anonym im Web mit

Dem Tor-Browser

Weltweit vertrauen User, die keine Spuren im Internet hinterlassen

wollen, auf das Anonymisierungs-Netzwerk Tor (The Onion Routing).
Wir zeigen Ihnen, wie auch Sie davon profitieren V O N A R T U R H O F F M A N N

hrend sich Webnutzer hierzulande lediglich Sorgen

um die Wahrung ihrer Privatsphre im Internet machen, mssen Anwender in Lndern wie China, Iran,
Saudi-Arabien oder Syrien nicht selten um Leib und Leben frchten wenn sie etwa Webseiten besuchen, die
von der herrschenden Klasse als missliebig angesehen werden,
oder versuchen, Angebote zu nutzen, die der staatlichen Zensur
zum Opfer gefallen sind. Und obwohl Welten zwischen Deutschland und diesen repressiven Staaten liegen, greifen die Anwender
zur gleichen Lsung, um das Internet anonym zu nutzen: The
Onion Routing, kurz Tor (https://www.torproject.org).

Das Anonymisierungs-Netzwerk Tor

Das 2002 entwickelte Tor kommt dem Ideal eines hochgradig anonymisierten Netzwerks recht nahe. Das Grundprinzip: Die TCPDatenpakete werden verschlsselt ber drei zufllig ausgewhlte

64

CHIP SICHERHEIT

Server innerhalb des Tor-Netzwerks bertragen, was die Nachverfolgung der Pakete fast unmglich macht. Der letzte Server, auch als
Exit-Server bezeichnet, stellt dann die eigentliche Verbindung zur
Webseite her, sodass in der Logdatei dessen IP-Adresse erscheint.
Darber hinaus wird das verwendete Server-Trio in regelmigen
Abstnden automatisch gewechselt, um das Tracking der Datenpakete weiter zu erschweren. Dieses Verfahren wird als Onion-Routing bezeichnet, was erklrt, warum sich der Entwickler fr den Namen The Onion Routing entschieden hat.
Sie knnen das nach der Installation des Tor-Browsers selbst
berprfen. ffnen Sie die YouTube-Homepage und werfen Sie einen Blick auf das oben links platzierte Anbieter-Logo. Je nachdem, in
welchem Land der Tor-Server steht, von dem aus die Datenpakete an
den Videodienst bertragen werden, ist neben dem YouTube-Logo
ein anderes Lnderkrzel zu sehen. Laden Sie nun die Webseite erneut, indem Sie [F5] drcken. In den meisten Fllen erscheint nun

Das Tor zur

Anonymitt

Wer ber das Tor-Netzwerk im Web unterwegs

ist, geniet grenzenlose
Anonymitt

Keinerlei
Erweiterungen

Aus Sicherheitsgrnden
verzichtet der TorBrowser auf Add-ons

Surfen mit angezogener Handbremse

Die Datenbertragungsrate ist eingeschrnkt, weil die TCP-Pakete

kreuz und quer durch die ganze Welt geschickt werden
ein anderes Lnderkrzel, da die Daten ber einen anderen Server,
der in einem anderen Land steht, gesendet werden.

Fnf wichtige Informationen

Die fr Nutzer wichtigste Anwendung ist der Tor-Browser. Dabei

handelt es sich um eine bereits vorkonfigurierte, fr die Nutzung
mit Tor optimierte Version des Alternativ-Browsers Firefox, die man
nicht einmal installieren muss. Das ermglicht auch weniger versierten Anwendern die vollstndige Anonymitt im Internet. Allerdings muss man dazu das Surfverhalten ein wenig umstellen. Denn
nur wenn Sie die folgenden fnf Hinweise beachten, ist sichergestellt, dass Sie unerkannt im Web unterwegs sein knnen.
1. Tor leitet nicht den kompletten Netzwerkverkehr um: Im Gegensatz zu VPN-Verbindungen, die Sie etwa mit unserer Vollversion
von Steganos Online Shield 365 (siehe Seite 36) oder ber einen Pro-

INFO
OFFEN WIE EIN SCHEUNENTOR?

Peinlich fr ein Netzwerk, das maximale Anonymitt verspricht:

Anfang August machte im Internet die Meldung die Runde, dass
ein Firefox-JavaScript-Bug eine Hintertr im Tor-Browser ffnet, durch die sich Spionage-Software einschleusen lsst. Und
auch wenn diese Sicherheitslcke, die vier ltere WindowsVersionen des Tor-Browsers betraf darunter drei im Betarespektive Alpha-Status befindliche Builds , inzwischen
geschlossen wurde, zeigt der Vorfall, dass man sich als Nutzer
niemals zu 100 Prozent in Sicherheit wiegen kann, da Programmierfehler nicht ausgeschlossen werden knnen.

Tor war offen

Die Sicherheitslcke,
die vier ltere
Versionen des TorBrowsers unsicher
gemacht hat,
ist inzwischen
geschlossen

vider wie Goldenfrog.com (siehe Seite 56) herstellen, anonymisiert

Tor nicht den kompletten Netzwerkverkehr. In der Praxis bedeutet
dies, dass Sie ausschlielich mit dem Tor-Browser ins Internet gehen
drfen sofern Sie Wert auf absolute Anonymitt legen.
2. Sie mssen mit Einschrnkungen leben: Der Tor-Browser
wurde auf maximalen Datenschutz getrimmt. Daher sind beliebte
Multimedia-Erweiterungen wie Flash, QuickTime und RealPlayer deaktiviert, was unter anderem dazu fhrt, dass Sie Videoportale wie
YouTube, Dailymotion und Vevo nicht mehr nutzen knnen. Fr
YouTube gibt es allerdings einen Workaround (siehe Seite 66). Erweitern Sie den Tor-Browser auf gar keinen Fall um Add-ons und Plugins, da diese Komponenten die Anonymitt aufheben knnen.
3. Rufen Sie stets die https-Version einer Webseite auf: Falls vorhanden, sollten Sie ausschlielich die verschlsselte Version einer
Webseite ansteuern. Grund: Tor verschlsselt lediglich die Datenpakete, die Ihr PC an das Tor-Netzwerk bertrgt. Die Kommunikation
zwischen Exit-Server und aufgerufener Webseite ist dagegen nur
dann abhrsicher, wenn es sich beim Ziel um eine https-Seite handelt. Der Tor-Browser ist mit der Erweiterung HTTPS Everywhere
ausgestattet, die sofern vorhanden automatisch die verschlsselte Version einer Webseite aufruft.
4. ffnen Sie keine Dokumente im Browser: Keinesfalls sollten
Sie Dateien, die von externen Anwendungen geffnet werden, im
Tor-Browser anzeigen lassen. Denn hufig sind in PDF- und docDateien Links auf Webseiten eingebunden. Klicken Sie so einen Link
an, wird die Verbindung zwischen PC und Hyperlink-Ziel nicht vom
Tor-Browser, sondern von der jeweiligen Anwendung hergestellt
ein Sicherheitsrisiko, weil dabei Ihre IP-Adresse bertragen wird.
5. Nehmen Sie Geschwindigkeitseinbuen in Kauf: Da die Datenpakete im Tor-Netzwerk kreuz und quer durch die ganze Welt geleitet werden, mssen Sie mit Geschwindigkeitseinbuen rechnen.
Die sind zwar bei Weitem nicht mehr so gravierend, wie das noch in
den Anfangszeiten des Anonymisierungsdienstes der Fall war
allerdings kann es immer wieder zu Einschrnkungen kommen, die
das Surfvergngen trben.

CHIP SICHERHEIT

65

SCHNFFLER AUSSPERREN

TOR-BROWSER
in der Praxis

Wir zeigen Ihnen, wie Sie den Tor-Browser

installieren, um anonym im Web zu surfen.
Zudem informieren wir Sie ber die
wichtigsten Funktionen des Vidalia KontrollPanels und verraten Ihnen, wie Sie selbst
zu einem Teil des Tor-Netzwerks werden

Glckwunsch! Sie surfen anonym!

Im Web sind Sie mit der IP-Adresse des Exit-Servers unterwegs,

sodass man Ihre Spuren nicht verfolgen kann

Tor-Browser-Bundle herunterladen

Auf der Heft-DVD finden Sie den CHIP Sicherheitsbrowser, der bereits Tor integriert hat. Doch das Tor-Browser-Bundle knnen Sie
auch separat laden. Klicken Sie auf der Tor-Startseite auf Download
Tor. Whlen Sie das gewnschte Betriebssystem und klicken Sie unter dem Button Download Tor Browser auf die Pfeilschaltflche.
Whlen Sie im Ausklappmen Deutsch und laden Sie die EXEDatei auf Ihren Rechner herunter.

Tor-Browser starten

Ist der Download abgeschlossen, wechseln Sie zum Speicherordner

und klicken die Datei doppelt an, um das selbstextrahierende File zu
entpacken. Whlen Sie das gewnschte Zielverzeichnis aus und klicken Sie auf Extract. ffnen Sie danach den Ordner und klicken
Sie doppelt auf die Datei Start Tor Browser.exe, um den sicheren
Browser zu starten. Im ersten Schritt stellt die Komponente Vidalia zunchst einmal die Verbindung zum Tor-Netzwerk her, was einige Sekunden dauern kann. Anschlieend startet automatisch der
Tor-Browser, bei dem es sich wie schon erwhnt um eine angepasste Version von Mozilla Firefox handelt. Als Begrung zeigt
Ihnen Tor die aktuelle IP-Adresse an, mit der Sie nun im Internet unterwegs sind. Diese IP-Adresse entspricht nicht der, die Ihnen von
Ihrem Provider zugeteilt wurde. Wollen Sie berprfen, ob Sie tatschlich anonym im Web unterwegs sind, rufen Sie die Webseite
www.gaijin.at/olsgeoip.php auf, aktivieren Landkarte anzeigen,
klicken auf Position suchen und werfen einen Blick auf die
Angabe bei Land:.

Mit dem Tor-Browser surfen

ffnen Sie mit der Tastenkombination [Strg]+[T] eine neue Registerkarte. Der Tor-Browser will nun von Ihnen wissen, ob knftig stets
die englischsprachige Version einer Webseite geladen werden soll.
Geht Ihnen diese Form der Anonymitt zu weit, klicken Sie im Dialog auf die Schaltflche Nein. Anschlieend geben Sie die URL der
Webseite ein, die Sie besuchen wollen, und beginnen mit dem sicheren Surfvergngen. Normalerweise bekommen Sie schon nach dem
Aufruf der ersten Webseite den Pop-up-Hinweis darauf, dass die
Webseite versucht, auf Canvas-Image-Dateien zuzugreifen, was ein
Sicherheitsrisiko darstellen kann. Wollen Sie dies knftig unterbinden, klicken Sie auf die Pfeilschaltflche und entscheiden Sie sich fr
Niemals fr diese Webseite.

66

CHIP SICHERHEIT

Nicht ohne Ihre Einwilligung

Die bertragung von Canvas-Image-Dateien lsst sich jederzeit

unterbinden, indem Sie die entsprechende Option auswhlen

YouTube-Videos ber HTML 5 ansehen

Wollen Sie den Tor-Browser auch fr Ihre tgliche Dosis YouTube

nutzen, mssen Sie mangels Flash-Untersttzung einen kleinen
Umweg gehen. Rufen Sie die Webseite www.youtube.com/html5 auf
und klicken Sie auf die Schaltflche Am HTML5-Test teilnehmen,
um die experimentelle Videobertragung ber den Web-Standard
HTML 5 zu aktivieren. Auf diesem Weg lassen sich zahlreiche Videos
auch dann wiedergeben, wenn der Browser keine Flash-Untersttzung bietet. Netter Nebeneffekt: Je nachdem, in welchem Land der
Exit-Server steht, knnen Sie sich auch von YouTube-Videos, die in
Deutschland nicht verfgbar sind, unterhalten lassen.

Vidalia Kontroll-Panel nutzen

Nach dem Aufruf des Tor-Browsers startet zunchst das Vidalia Kontroll-Panel das Herzstck von Tor. Bringen Sie nun das KontrollPanel-Fenster nach vorne, um sich mit den wichtigsten Funktionen
vertraut zu machen.
Besonders interessant ist es, einen Blick auf die aktiven Server des
Tor-Netzwerks zu werfen, indem Sie auf Netzwerk betrachten klicken. In der linken Spalte sind alle derzeit verfgbaren Tor-Server

TIPP
TOR-ALTERNATIVE JONDOFOX

YouTube im Tor-Browser

ber den Umweg der experimentellen HTML-5-Implementierung

lassen sich zahlreiche YouTube-Videos doch wiedergeben

Der auf Firefox basierende Browser JonDoFox (https://www.

jondos.org/de/) sorgt fr mehr Anonymitt beim Surfen im
Internet. JonDoFox verschleiert alle Vorgnge, egal was Sie
gerade im Internet machen. Dabei setzt der Browser auf den
kostenlos verfgbaren Web-Anonymizer JonDo, der von der
TU Dresden mitentwickelt wurde. So geht die Freeware vor:
Ihre Verbindungen werden durch ein verteiltes Netzwerk von
Servern geleitet. Diese Server schtzen Sie vor Webseiten, die
Profile Ihrer Interessen anlegen, und vor Lauschern, die Ihren
Datenverkehr abhren und dadurch erfahren, welche Webseiten Sie besuchen. Nach der Installation von JonDoFox
mssen Sie noch die eigentliche Anonymisierungs-Software
JonDo einspielen, auf die JonDoFox aufsetzt.

JonDoFox

Auch mit JonDoFox

knnen Sie ber ein
AnonymisierungsNetzwerk ins Web
gehen

Einmal um die ganze Welt

Die Server des Tor-Netzwerks sind ber die ganze Welt verteilt, wie
Sie mit einem Blick in die Liste der Verteiler sehen
Tor wechselt in regelmigen Abstnden die Server, damit Sie nicht
zu lange unter der gleichen IP-Adresse im Internet unterwegs sind.
Sie knnen diese nderung aber auch manuell durchfhren, indem
Sie auf Eine neue Identitt verwenden klicken.

Teil des Tor-Netzwerks werden

Tor! Ich bin auch dabei!

Sie knnen selbst Teil des Tor-Netzwerks werden. Damit Ihr PC

als Verteiler fungieren kann, mssen Sie sicherstellen, dass im
Router die Port-Weiterleitung richtig konfiguriert ist
inklusive Angaben zum Standort aufgefhrt. Das Icon neben den
Namen informiert ber die bertragungsgeschwindigkeit. Zum
Testzeitpunkt waren rund 3.000 solcher auch als Verteiler bezeichneten Server aktiv. Im unteren rechten Feld sind die drei Server
aufgefhrt, ber die der Tor-Browser derzeit online geht. Details zu
den aktiven Verbindungen sind im nebenstehenden Feld aufgefhrt. Wie es um die Datenbertragungsraten bestellt ist, erfahren
Sie, indem Sie im Kontroll-Panel auf Bandbreitengraph klicken.

Mchten Sie selbst zu einem Teil des Tor-Netzwerks werden, klicken

Sie im Kontroll-Panel auf Weiterleitung einrichten und markieren
im folgenden Dialog Relais-Verkehr im Tor-Netzwerk (kein ausgangs Relais), Relais-Verkehr fr das Tor-Netzwerk (ausgangs Relais) oder Hilf zensierten Nutzern, das Tor-Netzwerk zu erreichen.
Gehen Sie danach auf die Registerkarte Allgemeine Einstellungen
und geben Sie einen Spitznamen und eine E-Mail-Adresse an. Wollen
Sie die zur Verfgung gestellte Bandbreite anpassen und das ist
mehr als ratsam, weil das bertragene Datenvolumen sehr gro ist,
knnen Sie dies auf der Registerkarte Bandbreitenbegrenzung
tun. Schlieen Sie den Vorgang mit OK ab. Vidalia fhrt danach
einige Checks durch, etwa um zu ermitteln, ob die Weiterleitung auf
Port 443 funktioniert. Details dazu entnehmen Sie dem Protokoll,
das Sie ber Logbuch | Fortgeschritten ffnen.
Kann die Verbindung nicht hergestellt werden, liegt das in den
meisten Fllen daran, dass in Ihrem Router die Port-Weiterleitung
nicht konfiguriert ist. Nutzen Sie einen Router, der sich per Universal Plug & Play einrichten lsst, whlen Sie Einstellungen | Beteiligung, gehen auf die Registerkarte Allgemeine Einstellungen und
aktivieren hier die Option Versuche automatisch die Port-Weiterleitung zu konfigurieren.

CHIP SICHERHEIT

67

SCHNFFLER AUSSPERREN

facebook absichern

Wer Stammgast auf Facebook ist, sollte sich etwas Zeit nehmen,
um die wichtigsten Sicherheits- und Privatsphre-Einstellungen
zu optimieren. Wir zeigen Ihnen, wie einfach das geht V O N H A N S B R

icherheitsbewusste Anwender und Datenschtzer bezeichnen Facebook scherzhaft als die grte ffentliche Selbstauskunft der Welt. Und so ganz falsch liegen sie damit nicht,
da die von den Nutzern geposteten Beitrge zumindest in
der Grundeinstellung von der ganzen Welt gelesen werden knnen. Und welche Folgen dieses digitale Mitteilungsbedrfnis im Extremfall haben kann, liest man nahezu wchentlich in
den Tageszeitungen. Allerdings bietet das soziale Netzwerk auch
eine Reihe von Funktionen, die es Ihnen ermglichen, Ihre Privatsphre zu schtzen. Welche Sicherheits- und Datenschutzoptionen
Ihnen zur Verfgung stehen, lesen Sie in diesem Beitrag.
Der wichtigste Tipp vorweg: Schtzen Sie Ihren Facebook-Zugang
mit einem starken Passwort, um zu verhindern, dass Dritte Ihr Konto missbrauchen. Im Idealfall greifen Sie zu einem Passwort-Generator, etwa zur Open-Source-Software PWGen, die wir Ihnen im Beitrag
ab Seite 78 genauer vorstellen. Denn ist ein Facebook-Konto einmal

68

CHIP SICHERHEIT

gehackt, spielen die Sicherheits- und Privacy-Einstellungen des Nutzers keine Rolle mehr.

Grundlegende Sicherheitseinstellungen

Bevor Sie sich an das Optimieren der wichtigsten Privacy-Einstellungen machen, sollten Sie einen Blick auf die aktuellen Sicherheitsvorgaben werfen. Klicken Sie rechts oben auf das Icon PrivatsphreVerknpfungen und im anschlieend angezeigten Dialog auf den
Link Weitere Einstellungen anzeigen. Auf der folgenden Webseite
klicken Sie in der linken Spalte auf den Eintrag Sicherheit, um zu
den entsprechenden Einstellungen zu gelangen. Ratsam ist es, die
Option Anmeldebenachrichtigungen einzuschalten, indem Sie
auf den nebenstehenden Link Bearbeiten klicken, die gewnschte
Form der Kontaktaufnahme auswhlen per E-Mail oder SMS/PushBenachrichtigung und mit einem Klick auf nderungen speichern besttigen. Erfolgt der Login zu Ihrem Facebook-Profil von

TIPP
FACEBOOK-ALTERNATIVEN

Dass sich Datenschutz und soziales Netzwerk nicht ausschlieen mssen, zeigt Diaspora (https://joindiaspora.com), ein
soziales Netzwerk, das im Gegensatz zu Facebook auf eine dezentrale Infrastruktur setzt. Vereinfacht ausgedrckt bedeutet
dies, dass jeder Nutzer seine Daten auf persnlichen Servern
(Pods) ablegt, was Missbrauch nahezu unmglich macht.
Der hierzulande beliebteste Server ist Geraspora (https://pod.
geraspora.de). Einen hnlichen Ansatz verfolgt das Netzwerk
Friendica (http://friendica.com). Das Problem der beiden
Dienste besteht in ihren geringen Nutzerzahlen.

Sicherheit

Um zu verhindern, dass sich Dritte in Ihr Facebook-Konto einloggen,

optimieren Sie die Sicherheitseinstellungen

Diaspora
Sicherheit durch Zusatz-Tools

F-Secure Safe Profile Beta prft die Einstellungen und erleichtert

es Ihnen, Sicherheits- und Privacy-Vorgaben zu optimieren
einem PC oder Mobilgert, das noch nicht zur Anmeldung bei Facebook verwendet wurde, werden Sie darauf hingewiesen. Auf diese
Weise knnen sich andere Personen nicht mehr ohne Ihr Wissen bei
Ihrem Facebook-Konto einloggen.
Hand in Hand mit dieser Option geht die Vorgabe Sicherheitscode fr den Zugriff auf mein Konto ber einen unbekannten
Browser anfordern, die unter Anmeldebesttigungen zu finden
ist. Aktivieren Sie diese Einstellung und loggen sich zum ersten Mal
von einem PC, Smartphone oder Tablet ein, sendet Facebook einen
Sicherheitscode an Ihr Handy. Diesen Code mssen Sie bei der
Anmeldung eingeben, was Missbrauch nahezu ausschliet.

Schutz der Privatsphre

Nachdem Sie die grundlegenden Sicherheitseinstellungen angepasst haben, steht nun die Konfiguration der wichtigsten PrivacyVorgaben auf der Agenda. Dazu gehen Sie zunchst vor, wie im vorigen Abschnitt beschrieben, und klicken in der linken Spalte auf den
Eintrag Privatsphre.
Im Bereich Wer kann meine Inhalte sehen? legen Sie fest, welche Personen Ihre Beitrge aufrufen knnen, indem Sie erst auf den
Link Bearbeiten und dann auf die Schaltflche ffentlich klicken. In der Praxis sind eigentlich nur zwei Einstellungen sinnvoll:
Freunde oder Benutzerdefiniert. Entscheiden Sie sich fr
Freunde, drfen alle Ihre Kontakte einen Blick auf Ihre Eintrge
werfen. Die zweite Option ermglicht es Ihnen, genau auszuwhlen,

Anstatt alle Daten zentral zu sammeln, setzt sich das

soziale Netzwerk aus zahlreichen, voneinander unabhngigen Pods zusammen

wer Zugriff erhlt und welche Personen Ihre Beitrge nicht aufrufen
drfen. Haben Sie Ihre Facebook-Kontakte in Gruppen eingeteilt,
um etwa zwischen Real-Life-Freunden, Online-Bekanntschaften,
Verwandten und Arbeitskollegen zu unterscheiden, knnen Sie im
Dialog Individuelle Privatsphre explizit auswhlen, welche Gruppen die neuen Beitrge nicht zu Gesicht bekommen.
Wichtig sind auch die Einstellungen, die im Bereich Wer kann
nach mir suchen? zusammengefasst sind. Mchten Sie nicht, dass
Fremde Ihre E-Mail-Adresse oder Rufnummer zur Suche nach Ihnen
verwenden knnen, klicken Sie auf den Link neben Wer kann dich
anhand der von dir angegebenen E-Mail-Adresse oder Telefonnummer finden? und whlen Freunde aus. Unbedingt deaktivieren
sollten Sie die Option Mchtest du, dass andere Suchmaschinen einen Link zu deiner Chronik enthalten?. Klicken Sie auf Bearbeiten und entfernen Sie das Hkchen bei Anderen Suchmaschinen
das Verlinken auf deine Chronik gestatten. Quittieren Sie die Nachfrage mit Besttigen, um zu verhindern, dass Ihre persnliche
Chronik ber Google & Co. auffindbar ist. Facebook weist Sie darauf
hin, dass es einige Zeit dauert, bis diese Einschrnkung von den
Suchmaschinen bernommen wird.
Bei der Absicherung von Facebook knnen Sie sich aber auch von
kostenlosen Security-Tools untersttzen lassen. Empfehlenswert
sind beispielsweise die Beta-Version der Web-App F-Secure Safe
Profile (www.f-secure.com) sowie die Freeware Clever Privacy
(http://de.freemium.com).

CHIP SICHERHEIT

69

OPEN SOURCE

FastwieGoogle,
Nur Anonym

Je hufiger ein Nutzer die Google-Suche in Anspruch nimmt, desto

mehr Details verrt er ber sich. Doch es gibt einige Alternativen, die
Anonymitt versprechen V O N H A N S B R

ngesichts eines Marktanteils in Deutschland von knapp

ber 90 Prozent kann man die Google-Suche guten Gewissens als Quasi-Monopol bezeichnen. An und fr sich gibt
es an dieser massiven Marktmacht nichts auszusetzen.
Denn die Suchmaschine ist einfach klasse und wird mit gutem Grund von Millionen Menschen genutzt. Das Problem ist jedoch, dass Google alle Suchanfragen zusammen mit der IP-Adresse
des Nutzers sowie Angaben zu den besuchten Webseiten in Daten-

banken speichert. Darber hinaus legt Google auch sogenannte

Tracking-Cookies auf dem Rechner ab. Dies ermglicht es dem Unternehmen, ein nahezu lckenloses Benutzerprofil anzulegen und
dadurch an Informationen zu gelangen, die nicht fr Dritte
bestimmt sind. Dazu gehren etwa der Gesundheitszustand, die politischen Ansichten und die sexuelle Orientierung. Erschwerend
kommt hinzu, dass Google diese Daten mit den Informationen zusammenfhren kann, die das Unternehmen aus anderen Services
bezieht. Nutzen Sie etwa den kostenlosen E-Mail-Dienst Gmail, ist es
ein Leichtes, Ihr Benutzerprofil um Informationen wie Ihren Namen
und Ihre Adresse zu erweitern. Am Ende dieses Prozesses steht
der glserne Internetnutzer, der keinerlei Geheimnisse
vor Big Brother Google mehr hat.

Datenmissbrauch ist mglich

Google nutzt die Informationen, um den Anwendern

mageschneiderte Werbung vorsetzen zu knnen.
Auszusetzen gibt es daran nichts, schlielich ist
Google ein Unternehmen, das mit Online-Werbung
Geld verdienen will. Was aber passiert, wenn solche
Daten in die falschen Hnde gelangen, konnte
man bereits 2006 erleben, als AOL aus Versehen
rund 20 Millionen Suchanfragen von knapp
650.000 Nutzern verffentlicht hat. Der Datenbestand steht heute auf der Webseite Aolstalker.
com bereit, sodass Sie selbst einen Blick auf die
Suchanfragen der anonymisierten User werfen knnen. Sie mssen lediglich einen Suchbegriff eintippen und auf Stalk klicken,
um eine Liste aller Nutzer, die nach diesem
Begriff gesucht haben, aufzurufen. Klicken
Sie danach auf eine der User-IDs, um alle
Suchanfragen dieses Benutzers einzusehen. Besonders fleiig war etwa der User #1088858, der unter
anderem nach Karikaturen von George Bush, dem
Logo der TV-Serie Rome und Informationen zum
Verfassen eines Lebenslaufs gesucht hat.

70

CHIP SICHERHEIT

Indiskretionen

Was passieren kann,

wenn gespeicherte
Suchanfragen an die
ffentlichkeit gelangen,
zeigt Aolstalker.com

Sicher suchen

Der anonyme Suchdienst Startpage leitet

die Anfragen direkt an
Google weiter

TIPP
ANONYME BILDERSUCHE

Ixquick und Startpage sind auch in der Lage, nach Bildern und
Videos zu suchen. Wollen Sie, dass diese Suchanfragen zustzlich ber einen Proxy-Server geleitet werden, mssen Sie die
Einstellungen entsprechend anpassen. Klicken Sie auf der
Startseite auf Sucheinstellungen und aktivieren Sie bei Anonyme Bilder-/Videosuche die Option An. Die genderten
Einstellungen speichern Sie entweder in Form eines anonymen
Cookies auf dem Rechner oder als URL. Entscheiden Sie sich
fr die zweite Option, mssen Sie den Suchdienst knftig immer ber diese Adresse aufrufen.

ber Proxy

In den Einstellungen legen Sie fest, ob Suchanfragen

nach Bildern und Videos zustzlich ber einen ProxyServer laufen sollen

Anonym suchen mit der Ente

DuckDuckGo speichert keine IP-Adressen und legt die benutzerdefinierten Einstellungen verschlsselt in der Cloud ab

Alternative Suchmaschinen nutzen

Wollen Sie der permanenten Datensammelei von Google & Co.

einen Riegel vorschieben, mssen Sie knftig auf die Dienste der
groen Suchmaschinenbetreiber verzichten und sich fr eine Alternative wie etwa Ixquick (https://www.ixquick.de), Startpage (https://
www.startpage.com) oder DuckDuckGo (https://duckduckgo.com)
entscheiden. Diese drei Suchmaschinen verbindet, dass sie die IPAdressen der Nutzer nicht speichern und die Anfragen zudem verschlsselt ber eine HTTPS-Verbindung bertragen, was fr ein gewisses Ma an Anonymitt sorgt.
Ixquick ist eine Meta-Suchmaschine, die die Anfragen des Nutzers anonymisiert an Dienste wie Ask, Yahoo und Open Directory

weiterleitet und die Ergebnisse im typischen Google-Listenlook prsentiert. Neben der Webrecherche untersttzt Ixquick auch die Suche nach Bildern, Videos und Telefonnummern. Der Betreiber ist in
den Niederlanden ansssig und unterliegt somit den rigiden Datenschutzgesetzen der Europischen Union.
Startpage, der Dienst, der ebenfalls von den Ixquick-Machern betrieben wird, greift bei der Suche dagegen auf den Service von Google zurck. Die Anonymitt des Anwenders bleibt dennoch gewahrt,
weil die Suchanfragen nicht direkt vom PC des Nutzers kommen,
sodass Google auch nicht an seine IP-Adresse gelangen kann. Wie
Ixquick beschrnkt sich auch Startpage nicht auf die Websuche.
Auch Bilder und Videos lassen sich mit Startpage aufspren. Beide
Suchmaschinen wurden bereits 2008 mit dem Europischen
Datenschutzgtesiegel EuroPriSe (https://www.european-privacyseal.eu/de) ausgezeichnet.
Dritter im Bunde ist DuckDuckGo. Der US-Suchdienst kombiniert
die Services von Anbietern wie Yahoo mit einem eigenen Suchalgorithmus. Experten bezeichnen den Dienst, mit dem Sie auch nach
Bildern, Videos, Karten und News suchen knnen, deswegen auch
als Hybrid-Suchmaschine. In der Standardeinstellung zeigt DuckDuckGo US-Seiten in der Trefferliste ganz oben an. Um diese Vorgabe zu ndern, klicken Sie auf der Startseite auf den Link mehr und
whlen Einstellungen. Auf der Registerkarte Result whlen Sie
bei Region den Eintrag Germany aus und klicken auf Einstellungen speichern. Geben Sie eine beliebige Passphrase ein und besttigen Sie mit Save, um Ihre Einstellungen in der Cloud zu speichern. Der Haken bei DuckDuckGo: Da das Unternehmen in den
USA angesiedelt ist, unterliegt es dem US-Recht, was unter anderem
bedeutet, dass es unter Umstnden aufgrund des Patriot Acts Informationen an US-Behrden bergeben muss.

CHIP SICHERHEIT

71

OPEN SOURCE

Linux ist das sicherere

Betriebssystem

Um die Privatsphre vor radikalen Angriffen zu schtzen, sind radikale

Gegenmanahmen erforderlich etwa indem Sie sich von Windows als
Betriebssystem verabschieden V O N H A N S B R

iren, Wrmer und andere digitale Schdlinge greifen nahezu ausschlielich Windows-Systeme an. Als Hauptgrund
dafr gilt, dass es sich aufgrund der geringen Nutzerzahlen
fr Hacker einfach nicht lohne, Malware fr Linux zu entwickeln. Diese Behauptung ist schlichtweg falsch. Schlielich laufen auf einem nicht unerheblichen Teil der Internet-Server
linuxbasierte Betriebssysteme. Und diese Server stellen fr Hacker
wesentlich interessantere Ziele dar als die Desktop-PCs von Otto
und Anna Normalverbraucher.
Linux ist aus einem anderen Grund sicherer als Windows: Das
freie Betriebssystem handhabt die Zugriffsrechte wesentlich restriktiver, beispielsweise durch die strikte Trennung zwischen Benutzerund Systemdateien. Und Linux-Distributionen wie Ubuntu 13.04
(www.ubuntu.com) haben einen weiteren unschtzbaren Vorteil
gegenber Windows: Sie verfgen bereits in der Grundausstattung
ber zahlreiche Security-Funktionen, die es Ihnen erleichtern,

72

CHIP SICHERHEIT

anonym im Internet unterwegs zu sein, Ihre Surfspuren zu verwischen und die Kommunikation zu verschlsseln.

Ubuntu das ideale Linux fr Einsteiger

Anwender, die gar keine oder nur wenig Ahnung von Linux haben,
sollten ihre ersten Schritte in der Welt der Windows-Alternative mit
Ubuntu machen. Das Betriebssystem ist im Handumdrehen installiert, die grundlegende Konfiguration gestaltet sich unkompliziert,
und auch in Sachen Sicherheit bietet Ubuntu 13.04 eine ganze Menge. Unter anderem knnen Sie das im Beitrag ab Seite 64 ausfhrlich
vorgestellte Tor-Browser-Bundle zum anonymen Surfen nutzen, mit
verschlsselten E-Mails kommunizieren und ber VPN-Verbindungen online gehen, um Ihre IP-Adresse zu verschleiern.
In diesem Beitrag zeigen wir Ihnen, wie Sie Ubuntu 13.04 auf Ihrem Rechner installieren, die Grundeinstellungen anpassen und die
wichtigsten Security-Funktionen einrichten.

UBUNTU 13.04

installieren

Das Einspielen von Ubuntu 13.04 ist in

wenigen Minuten erledigt. Ein Installationsassistent fhrt Sie Schritt fr Schritt durch
den Vorgang, sodass auch weniger
versierte Anwender in den Genuss der
Betriebssystem-Alternative kommen

Computer Von Ubuntu-DVD booten Legen Sie die DVD, auf die Sie

Ubuntu 13.04 gebrannt haben, in das Laufwerk Ihres PCs und starten Sie den Rechner neu. Falls noch nicht geschehen, sollten Sie den
Computer im BIOS so konfigurieren, dass er automatisch vom CD/
DVD-ROM-Laufwerk bootet. Dass alles geklappt hat, erkennen Sie
daran, dass nach wenigen Sekunden der Ladebildschirm von Ubuntu erscheint.

Installationsvorgang starten Im Dialog Welcome klicken Sie

3
4

in der linken Spalte auf Deutsch, um die deutsche Bedienoberflche zu aktivieren. Der Installationsassistent will nun von Ihnen
wissen, ob Sie Ubuntu ausprobieren oder Ubuntu installieren
wollen. Da es in diesem Workshop um die dauerhafte Nutzung des
Betriebssystems Ubuntu 13.04 geht, klicken Sie auf die rechte Schaltflche, um mit dem Einspielen fortzufahren.

zu installierende Extras auswhlen Im folgenden Dialog macht

Sie der Assistent darauf aufmerksam, dass mindestens 5,3 GByte

freier Speicherplatz erforderlich sind. Aktivieren Sie die Option Aktualisierungen whrend der Installation herunterladen, damit alle
seit der Verffentlichung von Version 13.04 zum Download angebotenen Updates automatisch geladen werden. Das verlngert den
Installationsvorgang zwar um mehrere Minuten, dafr arbeiten Sie
aber von der ersten Minute an mit einem topaktuellen Betriebssystem. Software von Drittanbietern installieren markieren Sie
ebenfalls und klicken auf Weiter.

Weiterfhrende Installationsoptionen whlen Nun will Ubuntu

von Ihnen wissen, auf welche Weise die Installation erfolgen soll.
Im Idealfall whlen Sie die Standardoption Festplatte lschen und
Ubuntu installieren aus. Mchten Sie sich fr eine andere Variante
entscheiden, markieren Sie die entsprechende Option, klicken auf
Jetzt installieren und folgen den weiteren Anweisungen.

Standort, Tastaturlayout und Benutzerkonto whlen Anschlie-

end geben Sie an, in welchem Land Sie wohnen und welche
Tastaturbelegung Sie bevorzugen. Legen Sie danach ein neues
Benutzerkonto an, whlen Sie ein Passwort aus und starten Sie das
Einspielen des Betriebssystems mit einem Klick auf Weiter. Zum
Abschluss klicken Sie auf Jetzt neu starten.

CHIP SICHERHEIT

73

OPEN SOURCE

UBUNTU 13.04

konfigurieren

Nachdem Sie Ubuntu 13.04 eingespielt

haben, steht die Konfiguration auf der
Agenda. Wir zeigen Ihnen die wichtigsten
Einstellungen des Betriebssystems

Arbeitsflche von Ubuntu 13.04 kennenlernen Nach dem Neu-

start begrt Sie die bekannte Ubuntu-Arbeitsflche. Auf der linken Seite sind die wichtigsten Bedienelemente im Starter untergebracht. Dazu gehren unter anderem der als Dash bezeichnete
Start-Button, der Dateimanager, die Libre-Office-Anwendungen und
der Browser Mozilla Firefox.

Bildschirmauflsung anpassen Hat Ubuntu nicht automatisch

die passende Bildschirmauflsung aktiviert, sollten Sie diese Einstellung umgehend anpassen, um vernnftig arbeiten zu knnen.
Dazu klicken Sie in der linken Spalte auf das Icon Systemeinstellungen, entscheiden sich im Bereich Hardware fr Anzeigegerte und whlen unter Auflsung die optimale Bildschirmauflsung aus. Mit Anwenden weisen Sie die nderungen zu.

Updates suchen und einspielen Unabhngig davon, ob Sie sich bei

der Installation fr die Suche nach Updates entschieden haben

oder nicht, sollten Sie jetzt nach Aktualisierungen suchen und sie
einspielen. Klicken Sie das Dash-Icon an, tippen Sie Update ein
und klicken Sie auf das angezeigte Symbol Software-Aktualisierungen, um die Suche nach Updates zu starten. Stehen Aktualisierungen bereit, spielen Sie die Komponenten ein, indem Sie auf Jetzt
installieren klicken, Ihr Passwort eingeben und mit Legitimieren
besttigen. Nachdem alle Updates eingespielt wurden, ist es in den
meisten Fllen erforderlich, das System neu zu starten. Klicken Sie
dazu im Hinweisdialog auf die Schaltflche Neustarten.

Windows-Freigaben unter Ubuntu einrichten Wollen Sie im Netz-

werk von Windows-PCs auf die Ubuntu-Freigaben zugreifen, ist es

zwingend erforderlich, die Komponente Samba zu installieren. Starten Sie den Dateimanager Nautilus, ffnen Sie das Verzeichnis Persnlicher Ordner, klicken Sie den Ordner ffentlich mit der rechten Maustaste an und whlen Sie Freigabeoptionen. Markieren Sie
Ordner freigeben, macht Sie Ubuntu darauf aufmerksam, dass der
Windows-Netzwerkfreigabedienst eingerichtet werden muss. Klicken Sie auf Freigabedienst einrichten. Zunchst spielen Sie das
Paket samba ein, indem Sie auf Installieren klicken, Ihr Kennwort eingeben und mit Legitimieren besttigen. Anschlieend
steht die Installation des Pakets libpam-smbpass an. Nachdem alle neuen Komponenten eingespielt wurden, klicken Sie im Dialog
Sitzung neu starten auf die gleichnamige Schaltflche, um die Dateifreigabe zu aktivieren. Zurck im Dialog Ordner freigeben ist
die Option Diesen Ordner freigeben aktiviert. Schlieen Sie den
Vorgang mit Freigabe erstellen ab.

74

CHIP SICHERHEIT

WLAN-Verbindung aufbauen Ist Ihr Ubuntu-Rechner per Kabel mit

dem Router verbunden, steht die Netzwerkverbindung bereits.

Wollen Sie das System per WLAN in Ihr Netzwerk integrieren, mssen Sie einige Einstellungen anpassen. Dazu klicken Sie in den Systemeinstellungen im Bereich Hardware auf Netzwerk und
markieren im folgenden Dialog den Eintrag Drahtlos. Standardmig schaltet Ubuntu 13.04 die WLAN-Verbindung ein. Ist das nicht
der Fall, klicken Sie auf den rechts oben platzierten Schalter, um die
Verbindung zu aktivieren. Anschlieend klicken Sie in der Liste der
gefundenen WLANs das gewnschte Drahtlosnetzwerk an, tippen
das Passwort ein und klicken auf Verbinden.

VPN-Verbindung einrichten Sehr einfach ist das Herstellen einer

VPN-Verbindung unter Ubuntu 13.04. Klicken Sie in der oberen

Statusleiste auf das Doppelpfeil-Symbol und whlen Sie VPNVerbindungen | VPN konfigurieren. Im Dialog Netzwerkverbindungen klicken Sie auf Hinzufgen, ffnen das Ausklappmen,
whlen Point-to-Point Tunneling Protocol (PPTP) aus und klicken
auf Erzeugen.Geben Sie die geforderten Angaben ein, klicken Sie
auf Erweitert und aktivieren Sie unter Sicherheit und Komprimierung die Option Point-to-Point Verschlsselung (MPPE) verwenden. Um ber die sichere Verbindung online zu gehen, klicken
Sie auf das Doppelpfeil-Symbol und whlen VPN-Verbindungen |
Name der VPN-Verbindung.

Virenscanner ClamAV einspielen Auch wenn Linux nahezu viren-

frei ist, kann es nicht schaden, ein Antiviren-Tool zu installieren.

Perfekt geeignet ist der On-Demand-Scanner ClamAV. ffnen Sie das
Ubuntu Software-Center, suchen Sie nach ClamAV und spielen
Sie clamav und ClamTk ein. ffnen Sie danach ein Terminal
und geben Sie den Befehl sudo freshclam ein, um die aktuellsten
Virensignaturen zu laden. Starten Sie nach dem Update ClamTk
ber das im Starter abgelegte Icon.

Mit verschlsselten E-Mails kommunizieren Der in Ubuntu 13.04

integrierte E-Mail-Client Thunderbird ist in der Lage, verschlsselte Nachrichten zu senden und zu empfangen. Allerdings bentigen
Sie dazu noch die Komponente enigmail. Installieren Sie die Erweiterung ber das Ubuntu Software-Center und starten Sie Thunderbird. Im Mail-Client ist nun ein neues Men vorhanden: OpenPGP. Um die Verschlsselung zu aktivieren, klicken Sie auf Bearbeiten | Konten-Einstellungen | OpenPGP-Sicherheit und schalten
die Optionen OpenPGP-Untersttzung fr diese Identitt aktivieren und Nachrichten standardmig verschlsseln ein. Das Anlegen und Verwalten der Schlsselpaare erfolgt ber OpenPGP |
OpenPGP-Assistent.

Tor-Browser-Bundle installieren Laden Sie von www.torproject.

org/download/download-easy.html.en#linux das aktuelle TorBrowser-Bundle herunter und entpacken Sie das Archiv. Sollte die
Datei start-tor-browser nicht ausfhrbar sein, klicken Sie im
Dateimanager Nautilus auf Dateien | Einstellungen | Verhalten |
Ausfhrbare Textdateien ausfhren, wenn sie geffnet werden, um
das zu ndern. Anschlieend ffnet ein Doppelklick auf start-torbrowser das Kontrollpanel Vidalia, der Tor-Browser startet kurze
Zeit spter. Ausfhrliche Infos zum Tor-Browser-Bundle erhalten Sie
im Artikel Anonym im Web mit dem Tor-Browser auf Seite 64 .

CHIP SICHERHEIT

75

OPEN SOURCE

Libre Office:

Die kostenlose Alternative

Wer Office sagt, meint nicht immer zwangslufig Microsoft Office. Denn
auch andere Hersteller bieten vollwertige Office-Pakete an. Und im Fall
von LibreOffice mssen Sie nicht einmal Geld ausgeben
VON HANS BR

eine Frage: Word, Excel, PowerPoint & Co. stellen zumindest in der Windows-Welt die absolute Referenz in Sachen
Office-Software dar. Doch nicht jeder Anwender ist bereit,
viel Geld in eine der Office-2013-Varianten zu investieren
oder sich fr eines der Office-365-Abonnements zu entscheiden. Das ist aber auch gar nicht ntig, da es nach wie vor gute
Alternativen gibt. Eines der beliebtesten Office-Pakete, das kostenlos angeboten wird, ist das auf OpenOffice.org basierende Libre
Office (http://de.libreoffice.org, auf DVD ).
Die Software, die in der aktuellen Version 4.1.0 fr die Betriebssysteme Windows, MacOS X und Linux zur Verfgung steht, umfasst
fnf Hauptkomponenten: die Textverarbeitung Writer, die Tabellenkalkulation Calc, das Prsentationsprogramm Impress, das Datenbankmodul Base und das Zeichenwerkzeug Draw. Ebenfalls integriert ist ein vielfltiger Formel-Editor, mit dem sich komplexe mathematische Funktionen, etwa fr Differential- und Integralglei-

76

CHIP SICHERHEIT

chungen sowie Grenzwertberechnungen zusammenstellen lassen.

Ein gravierender Vorteil, der fr die Nutzung von LibreOffice spricht:
Da die Entwickler den Quellcode offenlegen, ist sichergestellt, dass
in der Software keine Spionage-Komponenten versteckt sind, die
Informationen sammeln und an den Hersteller bertragen.
Um sich selbst von den Qualitten zu berzeugen, installieren Sie
LibreOffice mit den Standardeinstellungen und entscheiden sich im
Einrichtungsassistenten fr die Option Programmverknpfungen
auf dem Desktop anlegen. Anschlieend spielen Sie die HilfeDateien ein. Starten Sie LibreOffice dann ber das Programm-Icon
und entscheiden Sie sich fr eine Aufgabe.
Nicht vergessen drfen Sie, Ihre Benutzerdaten einzugeben, damit LibreOffice Briefkpfe automatisch ausfllen kann. Zunchst
klicken Sie im Hauptmen der Software auf Extras und whlen
Optionen. Klicken Sie in der linken Spalte auf LibreOffice und
markieren Sie Benutzerdaten. Tippen Sie danach die geforderten

Alles im Blick

Im Hauptmen von LibreOffice whlen Sie aus,

welche Art von Dokument
Sie anlegen wollen

Groe Hilfe

Assistenten erleichtern
es Ihnen, Privat- und
Geschftsbriefe sowie
Faxe zu gestalten

INFO
WEITERE OFFICE-ALTERNATIVEN

LibreOffice ist nicht die einzige Office-Komplettlsung fr

Windows, die kostenlos zu haben ist. Auch bei OpenOffice
(www.openoffice.org) handelt es sich um eine vollwertige
Alternative, die alle wichtigen Anwendungen umfasst. In der
Praxis gute Dienste verrichtet aber auch das in Deutschland
entwickelte Softmaker FreeOffice (www.freeoffice.com), das
Textverarbeitung, Tabellenkalkulation und Prsentationssoftware kombiniert. Sind Sie dagegen auf der Suche nach einem
kostenlosen Schreibprogramm, sollten Sie einen Blick auf
AbiWord (www.abisource.com) werfen.

FreeOffice

Softmaker FreeOffice
ist eine kostenlose
Office-Alternative,
die die drei wichtigsten Anwendungen umfasst:
TextMaker,
PlanMaker und
Presentations

vorkommen, dass beim Import von Word-, Excel- oder PowerPointDateien nicht alle Formatierungseinstellungen des OriginalDokuments bernommen werden. Ebenfalls mglich ist es, die
Dokumente direkt aus den einzelnen Anwendungen heraus als PDFDateien zu exportieren.
Ein weiteres Plus: Die einzelnen Komponenten setzen auf eine
traditionelle Bedienoberflche. Anstatt also die Befehle wie in
Microsoft Office seit Version 2007 hinter verschiedenen Registerkarten zu verstecken, greifen Sie direkt ber die Menleiste auf alle
Funktionen zu. Interessantes Detail, das alle Umsteiger freuen drfte: LibreOffice untersttzt zahlreiche aus Word & Co. bekannte Tastenkrzel, darunter [Strg]+[F], [Strg]+[K] und [Strg]+[U] zum Formatieren markierter Texte. Mit Untersttzung der Assistenten, die
Sie Schritt fr Schritt durch den Erstellungsvorgang begleiten, verfassen Sie Privat- und Geschftsbriefe, Faxe und Prsentationen.

Zustzliche Funktionen nachrsten

Aus dem Web laden Sie nicht nur Dokumentvorlagen, sondern auch
Zusatzfunktionen, die LibreOffice als Extensions bezeichnet
Angaben ein und aktivieren Sie die Option Daten fr Dokumenteneigenschaften verwenden.

LibreOffice kann (fast) alles

Dass LibreOffice keinen Cent kostet, bedeutet nicht, dass Sie auf
wichtige Funktionen verzichten mssen. Ganz im Gegenteil: Mit
den kostenlosen Varianten von Word, Excel und PowerPoint legen
Sie aufwendig formatierte Textdokumente an, berechnen umfangreiche Zahlenreihen und gestalten multimediale Prsentationen.
Gespeichert werden diese Dokumente dann entweder im plattformbergreifenden OpenDocument- oder in einem der proprietren
Microsoft-Formate.
Andersherum funktioniert es aber auch, sodass Sie MS-OfficeDokumente mit LibreOffice ffnen und bearbeiten knnen. Untersttzt werden alle Office-Versionen seit Office 97. Allerdings kann es

Kostenlose Extras aus dem Web

Reichen Ihnen die mitgelieferten Vorlagen nicht aus, knnen Sie

weitere aus dem Internet herunterladen. Starten Sie LibreOffice und
klicken Sie im Hauptmen auf das unten links platzierte Icon. Auf
der daraufhin geladenen Webseite klicken Sie auf Templates und
blttern danach durch die Liste der angebotenen Vorlagen. Mchten
Sie ein Element herunterladen, etwa Briefvorlage DIN lang (DL),
klicken Sie auf den Titel und starten den Download, indem Sie auf
das Pfeil-Icon klicken.
Auch die als Extensions bezeichneten Erweiterungen, die die
kostenlose Office-Software um zustzliche Funktionen bereichern,
lassen sich herunterladen. Um eine solche Extension in das Programm einzubinden, ffnen Sie LibreOffice und klicken auf Extras
| Extension Manager. Im folgenden Dialog, in dem alle bereits integrierten Erweiterungen aufgefhrt sind, klicken Sie auf die Schaltflche Hinzufgen, wechseln zum Ordner, in dem die heruntergeladene Extension-Datei gespeichert ist, markieren das Element und
besttigen mit ffnen. Anschlieend schlieen Sie den Dialog
Extension Manager wieder.

CHIP SICHERHEIT

77

OPEN SOURCE

Kostenlose

Sicherheit

Auf diesen Seiten stellen wir Ihnen 15 ausgewhlte Gratis-Programme vor,

die Ihnen dabei helfen, Ihr System abzusichern V O N A R T U R H O F F M A N N
Angry IP Scanner

Offene Ports aufspren

Mit dem Open-Source-Tool Angry IP Scanner berprfen
Sie schnell und einfach groe IP-Bereiche, um unter anderem herauszufinden, welche Ports geffnet sind. Auf diese Weise ermitteln
Sie, ob Ihr PC oder Web-Server vor Angriffen sicher ist. Die Bedienung ist simpel: Zu Beginn legen Sie den zu scannenden IP-Adressbereich fest, danach starten Sie den Vorgang per Mausklick. Neben
der IP-Adresse liefert das Tool auch Informationen zur Mac-Adresse
und den offenen Ports. Alle ermittelten Informationen knnen Sie
etwa als TXT- oder CSV-Datei exportieren. ber Plug-ins lsst sich der
Funktionsumfang des Programms deutlich erweitern.
chip.de/downloads/Angry-IP-Scanner_42658358.html

Axcrypt

Perfekte Dateiverschlsselung
Mit diesem Security-Tool verschlsseln Sie Ihre sensiblen
Dateien. Dabei kommt ein AES-Algorithmus mit einer Schlssellnge von 128 Bit zum Einsatz. Um eine mit Axcrypt codierte Datei zu
entschlsseln, muss man nicht nur das richtige Passwort eingeben,
sondern bei Bedarf auch noch eine geheime Schlsseldatei (TXT)
auswhlen. AxCrypt muss dabei auf dem Rechner installiert sein.
Sehr bedienfreundlich: Nach der Installation steht der Befehl zum
Verschlsseln im Kontextmen der rechten Maustaste zur Auswahl.
chip.de/downloads/AxCrypt_23813785.html

Angry IP Scanner ermglicht es Ihnen, die Sicherheit von PCs

und Web-Servern zu testen

BleachBit

berflssige Dateien von der Festplatte putzen

Die Open-Source-Software BleachBit lscht berflssige
Dateien und sorgt fr etwas mehr Privatsphre auf Ihrem Rechner.
BleachBit durchsucht Ihre Festplatte nach Dateien, die viel Speicherplatz belegen, aber hufig gar nicht mehr genutzt werden. Dazu gehren etwa temporre Files, Log-Dateien und diverse Sprachpakete.
Daneben kennt die Gratis-Software rund 70 Anwendungen, deren
Cache, Cookies oder History sich mit nur einem Mausklick bereinigen lassen. Das Programm arbeitet unter anderem mit Firefox,
Chrome, Adobe Reader und dem Windows Media Player zusammen.
chip.de/downloads/BleachBit_44509354.html

78

CHIP SICHERHEIT

Axcrypt ist ein ausgezeichnetes Tool, mit dem sich beliebige

Dateien und Ordner absolut zuverlssig verschlsseln lassen

ClamWin Portable

Virenschutz auf dem USB-Stick

Von der On-Demand-Virenlsung fr Linux, die wir Ihnen
im Beitrag ab Seite 72 vorgestellt haben, gibt es auch eine WindowsVersion, die man auf einem USB-Stick transportieren kann. Anders
als ClamAV bietet das englischsprachige Programm eine grafische
Oberflche. ClamWin kann auch komprimierte Dateien scannen
und kennt Herstellerangaben zufolge mehrere hundertausend Viren, Wrmer und Trojaner. Die integrierte Update-Funktion versetzt
das Programm stets auf den aktuellen Stand.
chip.de/downloads/ClamWin-Portable_20732716.html

BleachBit lscht unter anderem Cookies, was es Dritten

erschwert, Ihre Surfspuren zu verfolgen
ClamWin
Portable ist ein
On-DemandVirenscanner,
der auf dem
USB-Stick luft

Create Synchronicity

Daten auf mehreren PCs synchronisieren

Insbesondere wenn Sie an mehreren Rechnern in einem
Netzwerk arbeiten, ist es von Vorteil, bestimmte Daten regelmig
abzugleichen. Create Synchronicity ist eine sehr simple Lsung, die
das Synchronisieren von Ordnern im Netzwerk oder auch lokal mit
USB-Gerten oder einer zweiten Festplattenpartition ermglicht.
Der Datenabgleich kann sowohl per Mausklick als auch zeitplangesteuert automatisch erfolgen.
chip.de/downloads/Create-Synchronicity_55667266.html

Duplicati

Backups anlegen und in der Cloud sichern

Das Anlegen regelmiger Backups ist extrem wichtig.
Denn nicht selten geben Festplatten vorzeitig und grundstzlich
im falschen Moment den Geist auf. Duplicati ist eine berzeugende Backup-Lsung, die es Ihnen erleichtert, Ihre Daten in Sicherheit zu bringen. Sie knnen selbst whlen, ob die Backups auf einem
Netzwerk- oder externen Laufwerk, einem FTP-Server, anderen Remote-Servern, auf dem Amazon S3 Storage oder in SkyDrive landen
sollen. Sehr gut: Die Daten lassen sich verschlsseln und mit einer
digitalen Signatur oder einem Passwort versehen, um Datenklau
effektiv zu verhindern.
chip.de/downloads/Duplicati-32-Bit_48005201.html

Create
Synchronicity
ist ein cleveres
Tool zum Synchronisieren
von Ordnerinhalten

Duplicati
legt Datensicherungen an
und speichert
sie auf Wunsch
auch in der
Cloud

Eraser

Daten rckstandslos lschen

Daten, die man im Windows Explorer lscht, sind keineswegs von der Festplatte verschwunden, vielmehr sind nur die entsprechenden Verweise auf die Datei entfernt. Wer sichergehen will,
dass sich Dateien unter keinen Umstnden rekonstruieren lassen,
muss zum englischsprachigen Eraser greifen. Das Open-Source-Tool
mit seiner cleveren Oberflche lscht alle Daten zuverlssig, indem
es die entsprechenden Sektoren mehrmals berschreibt. Interessant
ist das zeitverzgerte Lschen. So knnen Sie etwa festlegen, dass
der Cache Ihres Internet Browsers gelscht wird und zwar zu einer
beliebigen Uhrzeit.
chip.de/downloads/Eraser_12994923.html

JAP

Anonym im Web unterwegs sein

Wenn Sie mit JAP auf Webseiten zugreifen, bekommt weder
der angefragte Server noch der Provider mit, wer wann welche Seiten aufgerufen hat. Da viele User den Anonymittsdienst zur glei-

Eraser
ist erste Wahl,
wenn es darum
geht, Dateien
rckstandslos
zu lschen

CHIP SICHERHEIT

79

OPEN SOURCE

chen Zeit nutzen, werden die Internetverbindungen jedes Surfers

unter denen aller anderen Benutzer versteckt was bedeutet, dass
jeder User der Urheber einer Verbindung gewesen sein kann. Kein
Auenstehender, kein anderer Anwender, nicht einmal der Betreiber
des Anonymittsdienstes selbst kann herausfinden, welche Verbindungen auf einen bestimmten Benutzer zurckgehen. Das bedeutet: Je mehr User diesen Dienst nutzen, desto schwieriger ist die
Nachvollziehbarkeit des Surfverhaltens eines einzelnen. Die Tatsache, dass die Seitenaufrufe ber drei Mix-Proxies laufen, die pro Station zustzlich verschlsselt werden, sorgt fr zustzlichen Schutz.
Neben Windows gibt es auch Versionen fr Linux und Mac OS.
chip.de/downloads/JAP_13002700.html

Password Safe

Zugangsdaten sicher speichern

Die clevere Passwortverwaltung lsst sich recht einfach bedienen: Sie kopieren Ihre Kennwrter samt Benutzernamen in eine
verschlsselte Datenbank und sichern sie mit einem einzigen Passwort ab. So haben Sie all Ihre Zugangsdaten fr Internet, Programme
und Home-Banking zuverlssig aufbewahrt. Gleichzeitig ist sichergestellt, dass keine Unbefugten an diese Daten kommen. Zudem lassen sich die diversen Zugangsdaten in verschiedenen Gruppen zusammenfassen. Das Open-Source-Programm ist auch in der Lage,
Benutzernamen und Kennwrter automatisch in die entsprechenden Webseiten-Felder einzutragen, und bringt eine Funktion
zum Generieren absolut sicherer Passwrter mit.
chip.de/downloads/Password-Safe_17477253.html

JAP erleichtert
Ihnen die Konfiguration durch
die Hilfe eines
Assistenten

Anschlieend surfen Sie mit JAP

vllig unerkannt
im Internet

PeaZip

Vielseitiges Tool zum Entpacken und Komprimieren

Sie haben eine Archiv-Datei aus dem Internet geladen, die
sich nicht entpacken lsst? PeaZip knnte das Problem lsen. Denn
das Tool ffnet nicht nur gngige Formate wie ZIP, RAR und ISO, sondern kommt auch mit exotischen Dateien wie 7ZIP, DEB und PAQ
zurecht. Darber hinaus knnen Sie mit PeaZip auch eigene Archive
anlegen. Wer ganz auf Nummer Sicher gehen mchte, erzeugt neben
dem Passwort zustzlich ein Keyfile denn ohne dieses Extra lsst
sich das Archiv dann nicht entpacken. Auf diese Weise verhindern
Sie, dass Unbefugte wichtige Dateien, die auf Ihrem PC gespeichert
sind, ffnen knnen. Auch eine Portable-Version dieser eminent
hilfreichen Software ist verfgbar.
chip.de/downloads/PeaZip_23603781.html

Password Safe ist ein cleveres Tool, mit dem Sie smtliche
Zugangsdaten sicher aufbewahren knnen
PeaZip ist ein
prima PackProgramm,
das auch mit
exotischen
Formaten
zurechtkommt

PWGen

Im Handumdrehen zum sicheren Passwort

Sichere Passwrter haben zwei groe Nachteile: Lang sollen sie sein und mit Sonderzeichen gespickt. Doch selbst generiert,
sind zahlreiche Codes relativ leicht zu knacken. Besser ist es, auf
PWGen zurckzugreifen, das sichere Passwrter generiert. Das Programm legt Kennwrter mit 64-Bit- oder 128-Bit-Verschlsselung an.
Der Trick dabei: Nachdem Sie die gewnschte Passwortart ausgewhlt haben, klicken Sie wahllos auf der Tastatur herum. Die Zeit
zwischen den einzelnen Tastenanschlgen misst PWGen und erzeugt daraus ein Passwort, das nicht einmal ein Brute-Force-Angriff
knacken kann. Sicher aufbewahren mssen Sie das neue Kennwort
allerdings selbst, zum Beispiel in Ihrem Password Safe ....
chip.de/downloads/PWGen_20716919.html

80

CHIP SICHERHEIT

PWGen vertraut
beim Generieren von Passwrtern auf die
Entropie

Sandboxie fhrt
Sie nach der
Installation
Schritt fr
Schritt durch
den Einrichtungsprozess

Sandboxie

Programme in einem abgeschotteten Bereich starten

Mit der Freeware Sandboxie knnen Sie in einer isolierten
Umgebung kritische Anwendungen starten, ohne Auswirkungen auf
die Festplatte samt Betriebssystem befrchten zu mssen. Denn
Sandboxie installiert sich als kleines Quasi-Betriebssystem in Windows. So gelangen Viren und alle anderen schdlichen Dateien nicht
auf die Festplatte oder in die Registry und knnen somit auch keinen Schaden anrichten. Sandboxie erlaubt es Ihnen auch, sicher zu
surfen und E-Mails zu empfangen.
chip.de/downloads/Sandboxie_21760394.html

Secunia Personal Software Inspector

Update-Tool fr Windows-Anwendungen
Nicht jedes Programm auf Ihrem PC verfgt ber eine automatische Update-Funktion. So bekommen Sie oft nicht mit, wenn
etwa wichtige Sicherheitslcken mit einer neuen Version gestopft
wurden. Eine groe Hilfe stellt in diesem Zusammenhang Secunia
Personal Software Inspector dar. Denn das Tool scannt Ihre Festplatte und vergleicht die Versionsnummern der entdeckten Anwendungen mit einer stets aktuellen Datenbank, die mehrere tausend
Produkte umfasst. Auf diese Weise kommen Programme zum Vorschein, die nicht mehr up-to-date sind oder schlichtweg nicht mehr
weiterentwickelt werden. Praktisch: Die Software liefert Ihnen gleich
den direkten Download-Link. So bringen Sie die relevanten Programme ohne viel Aufwand auf den neuesten Stand.
chip.de/downloads/Secunia-Personal-Software-Inspector-PSI_
28151435.html

Anschlieend
starten Sie alle
Programme
direkt im
geschtzten
Bereich von
Sandboxie

WOT

Sicher im Web unterwegs

Mit dem Browser-Add-on fr Internet Explorer, Firefox
und Google Chrome erhalten Sie beim Surfen durch das Internet Informationen ber die Seriositt der besuchten Webseiten. WOT (Web
of Trust, was sich mit Netz des Vertrauens bersetzen lsst) ist eine internationale Internetnutzer-Community, die sich dem Kampf
gegen Online-Betrug verschrieben hat. ber die Erweiterung und eine kostenlose Anmeldung werden Sie Teil dieser Gemeinschaft. Fr
Sie hat das den Nutzen, dass Sie ber das WOT-Icon in der BrowserSymbolleiste anhand des jeweiligen Farbton den Sicherheitsstatus
der gerade besuchten Webseite ablesen knnen. Im Gegenzug lassen
Sie Ihre eigenen Erfahrungen als Bewertung der Internetseite einflieen. Als Komponenten stehen Vertrauenswrdigkeit, Hndlerzuverlssigkeit, Daten- und Jugendschutz zur Auswahl.
suche.chip.de/?q=WOT&it=1&submit.x=0&submit.y=0

Secunia Personal Software Inspector ist eine Update-Hilfe, die die

installierten Anwendungen aktualisiert
WOT informiert
Sie ber die
Vertrauenswrdigkeit von
Webseiten

Xpy

Unterbindet die Kontaktaufnahme mit Microsoft

Xpy findet und entfernt sogenannte Phone-Home-Komponenten aus Windows, ohne dass Sie mhsam in der Registry nach
den einzelnen Elementen suchen mssen. Darber hinaus lassen
sich unntige Dateien entfernen und jede Menge Ressourcen fressende und berflssige Funktionen deaktivieren, etwa die BallonTipps und die Fehlerberichterstattung. Sie knnen berdies den
Windows Messenger aus Ihrem System entfernen und die Einstellungen von Internet Explorer und Windows Media Player tunen.
chip.de/downloads/xpy_13013308.html

Mit Hilfe von

Xpy treiben Sie
Windows das
Schnffeln aus

CHIP SICHERHEIT

81

D AT E N S C H T Z E N

TRACKER
Werbe- und Analysedienste,
die den Seitenbesuch eines
Users aufzeichnen

FOTO: NIKOLAUS SCHFFLER

WEBSITES nutzen
Trackingdienste,
um die Seite zu
optimieren und
Werbung anzuzeigen

82

Im Netz der
datendealer

CHIP WINDOWS 8

DIE TOP 50 DER

DATENTRACKER

Unsere Analyse visualisiert, wie viele

Tracker unseren Besuch auf den 100 grten
deutschen Websites* aufzeichnen (links).
Die Liste unten zeigt, wie viele Seiten ein
Tracker direkt oder indirekt (ber einen
anderen Tracker) analysiert, und gibt daher
nicht exakt die Gre der Kreise wieder.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

tz

c
Tra

ke

googleanalytics.com
qservz.com
scorecardresearch.com
atdmt.com
adition.com
googleadservices.com
ytimg.com
adrolays.de
freenet.de
feedburner.com
googlesyndication.com
gstatic.com
adscale.de
adnxs.com
amgdgt.com
bp.blogspot.com
blogblog.com
serving-sys.com
ebaystatic.com
c-and-a.com
adsrvr.org
advolution.biz
invitemedia.com
yimg.com
metalyzer.com
adrdgt.com
adjug.com
2mdn.net
doubleclick.net
yieldmanager.com
mythings.com
google.de
googleusercontent.com
blogger.com
youtube.com
ivwbox.de
fbcdn.net
akamaihd.net
facebook.com
nuggad.net
revsci.net
admeld.com
rubiconproject.com
openx.net
amazon-adsystem.com
pubmatic.com
ajax.googleapi.com
webtrekk.net
wunderloop.net
quality-channel.de

ge

87
74
73
73
70
70
70
70
70
70
69
69
69
69
69
69
69
69
69
69
69
69
69
69
69
69
69
68
68
68
68
68
68
68
68
44
28
28
27
24
19
19
19
18
17
17
16
15
14
13

tra

ck

ite

Fir

ma

da

t
hin

Google
Quisma
TMRG
Microsoft
Virtual Minds AG
Google
Google
abilicom
Freenet
Google
Google
Google
Adscale
AppNexus
Adconion Media
Google
Google
MediaMind
eBay
Cofra Holding
GoDaddy
Media Ventures
Google
Yahoo
Metapeople
GoDaddy
AdJug
Google
Google
Yahoo
MyThings
Google
Google
Google
Google
IVW
Facebook
Akamai
Facebook
Nugg.ad
AudienceScience
Google
Rubicon Project
OpenX
Amazon
PubMatic
Google
Webtrekk
AudienceScience
Spiegel Verlag

VON CLAUDIO MLLER

in Einkaufsbummel in der Stadt nervt mitunter: vollgestopfte

Lden, quengelnde Kinder, die Hose nur in der falschen Gre.
Doch einen Vorteil hat das Analogshopping: Man wird nicht
permanent von vermummten Gestalten verfolgt, die jeden
Schritt, jedes anprobierte Kleidungsstck protokollieren. Eine
gruselige Vorstellung doch im Internet passiert genau das.
Die Spione sind Firmen, die Werbung auf Websites einblenden und
das Userverhalten analysieren, allen voran Google. Ihre Werkzeuge: Cookies, Browser- und Handy-Identifizierung. Das Ergebnis: Diverse Seiten
blenden gezielt Werbung ein, etwa fr Produkte, die man zuvor auf anderen Seiten angeschaut hat. Man mchte die Werbung anschreien, ihr
erklren, dass man die Hose lngst gekauft hat, dass sie doch bitte dieses
Stalking unterlassen soll. Doch es hilft nichts, sie kommt immer wieder.
Zu den grten Profiteuren des Trackings zhlen Onlineshops. Es verrt ihnen etwa, wie ein User auf die Shopsite kam: ber ein spezielles
Blog, ein Werbebanner auf einer anderen Website oder eine Google-Suche.
Und auch was er auf der Seite tut: Schaut er nur ein Produkt kurz an
oder vergleicht er mehrere? Sucht er nach einer Marke? Werbevermarkter analysieren diese Daten und bombardieren den User dann auf
anderen Websites mit Produkten und Spezialangeboten dieses Shops.
Jedes Werbebanner ist ein kleiner Ansturm gegen den Kaufwiderstand.
Man geht davon aus, dass nur etwa zwei Prozent aller Shopbesucher
sofort etwas kaufen, sagt Norman Ntzold, Mitgrnder und Technikchef von Quisma, einer Performance-Marketing-Agentur (Platz 2 des
Top-50-Rankings, siehe links). Laut Ntzold lsst sich die Kaufquote mit
dieser Retargeting genannten Methode in den zweistelligen Prozentbereich steigern. Genervt fhlen sich User erst ab der fnften Wiederholung der Anzeige, so seine Aussage.

er

Eine Zielscheibe auf dem User

*QUELLE ALEXA.COM

Pla

e
eS

Im Milliardengeschft Onlinewerbung
werden Sie bei jedem Klick analysiert
es sei denn, Sie wehren sich dagegen

Fr nicht Eingeweihte wirkt Onlinewerbung bisweilen wie eine Geheimwissenschaft. Da gibt es neben dem Retargeting noch kontextbasierte
Anzeigen, die sich auf den Inhalt der gerade angezeigten Seite beziehen.
hnlich funktioniert das Keyword-Targeting, die Werbung auf Basis einzelner Worte, wie in der Google-Suche oder in Gmail. Schlielich gibt es
noch das Behavioural Targeting, bei dem Tracker aus dem Verhalten
eines Users ein Interesse abzuleiten versuchen. Fr diese Bewegungsmuster gibt es sogar eigene Experten, die Customer Journey Manager. Man
knnte sie die heimlichen Reisebegleiter im Web nennen, die Websurfer
durch die Seiten fhren wie ahnungslose Touristen ber einen Basar.
Diese Onlinewerbung, die Haupteinnahmequelle vieler Websites,
wird heute meist ber die Klickzahl oder die daraus resultierenden
Kufe bezahlt. Ungefhr zwei Drittel der weltweiten Werbeumstze entfallen auf solche Anzeigen. Je mehr Klicks also, desto mehr Geld fr die
Website. Google allein nahm im ersten Halbjahr 2012 weltweit 20,8 Milliarden US-Dollar mit solcher nutzungsbasierten Werbung ein. Personalisierte Werbung ist nicht per se schlecht, sagt Michaela Zinke, Referentin fr Verbraucherrechte im Internet beim Verbraucherzentrale
Bundesverband (vzbv). Wenn man schon Werbung sehen muss, dann

CHIP SICHERHEIT

83

D AT E N S C H T Z E N

natrlich lieber eine, die relevant ist. So weit ist die Verbreitung personalisierter Werbung verstndlich. Das groe Problem ist, dass der
Nutzer nicht selbst entscheiden kann, ob er sie mchte, sagt Zinke.

Ein Nutzerprofil aus Datenkrmeln

Fr diese Analyse brauchen die Websites Cookies (siehe bersicht

rechts). Besuchen Sie eine Seite, speichert der Server der Website
Cookies auf Ihrem PC und liest bereits gespeicherte Cookies der Seite
aus. Werbetracker, die beim Seitenaufruf im Hintergrund eine
Datenverbindung aufbauen, tun dasselbe. Diese Cookies gibt es in
verschiedenen Kalibern, angefangen bei simplen HTTP-Cookies. Diese kleinen Textdateien enthalten oft nur wenige Informationen,
etwa Datum und Uhrzeit des Seitenaufrufs. Andere speichern LoginDaten oder den Inhalt eines Warenkorbs, um den Nutzer auf verschiedenen Unterseiten der Website zu identifizieren. Doch sie dienen auch einem anderen Zweck: Mit Cookies lassen sich anonyme
Userprofile in der Form erstellen, dass User Journeys ausgewertet
werden knnen, sagt Norman Ntzold von Quisma. Die Profile zeigen, wer was gesucht, angeklickt oder gekauft hat. Einige Cookies haben einen langen Atem. Wir haben Internetseiten fr Kinder untersucht und festgestellt, dass dort zum Teil Cookies mit einer Speicherdauer von bis zu 20 Jahren eingesetzt werden, sagt Michaela Zinke
vom vzbv. Doch es gibt noch schlimmere Cookies.
Flash-Cookies speichern auf vielen Websites die Lautstrke von
Webvideoplayern oder Spielstnde von Browserspielen. Darber hinaus sammeln sie Informationen ber die Rechnerkonfiguration, sodass Tracker einzelne Gerte identifizieren knnen. Einige Exemplare
kopieren sich sogar an mehrere Stellen im System und mssen zeitgleich gelscht werden. Andernfalls reproduzieren sich diese Evercookies, sobald man ihre Herkunftswebsite erneut besucht. Die hchste
Eskalationsstufe sind die Supercookies, auch DOM-Storage-Cookies
genannt. Das sind keine Dateien mehr, sondern direkt im Browser gespeicherte Daten. Diese im Rahmen von HTML5 entwickelte Methode
bietet enorm viel Speicherplatz fr interaktive Webanwendungen
und dient als kaum verhinderbare Alternative zu HTTP-Cookies.
Welch unfassbare Ausmae die Datensammelei inzwischen angenommen hat, zeigt eine Trackinganalyse des Fraunhofer-Instituts
fr Sichere Informationstechnologie (SIT): Der aggressivste Tracker
ist auf 265 der 500 grten deutschen Seiten aktiv. Wenn derselbe
Tracker in Seiten verschiedener Anbieter eingebaut ist, dann kann er
den Nutzer wiedererkennen und ihn in seinem Surfverhalten ausspionieren, sagt Markus Schneider, stellvertretender Institutsleiter
des SIT. Das Perfide dabei: Die gesammelten Daten bleiben nicht bei
dem einen Trackingdienst, sondern wandern auf verschlungenen
Wegen zu anderen Werbedienstleistern. Das zeigt unsere Trackinganalyse mit dem Browser-Plug-in Collusion (siehe Grafik auf Seite
82). Persnliche Daten drfen zwar laut Gesetz nicht ohne Zustimmung des Users weitergegeben werden, fr anonyme Daten (wie
Klicks) gilt das jedoch nicht. Und so floriert der Datenhandel.
Die Cookieflut knnte lngst verebbt sein, denn laut ePrivacyRichtlinie der EU drfen Werbecookies nur mit Zustimmung des
Users gespeichert werden. Doch viele Lnder, darunter auch Deutschland, lehnen es ab, diese EU-Richtlinie im nationalen Gesetz zu verankern. Whrend die EU-Richtlinie von den Unternehmen fordert,
eine Einwilligung einzuholen, mssen deutsche Nutzer aktiv bei den
Firmen widersprechen. Der einfachere Weg: Sie sperren die Datensammler mit ein paar Tricks einfach aus (siehe Seite 87).

84

CHIP SICHERHEIT

Auch Werbeunternehmen kennen diese Tricks und weichen zunehmend auf neue Trackingmethoden aus. Eine beinahe forensische
Methode ist das Browser-Fingerprinting. Trackingdienste knnen
anhand diverser, beim Laden einer Webseite bermittelter Daten einen individuellen Fingerabdruck des Browsers generieren. Zu den
Daten zhlen die IP-Adresse, die Versionsnummern des Betriebssystems, der installierten Flash-, Java- und anderer Browser-Plug-ins
sowie die Bildschirmauflsung, Farbtiefe und installierten Schriftarten. Diese Parameter erlauben nahezu unzhlige Kombinationen.

Userverfolgung per Satellit

Der Browser ist jedoch erst der Anfang. Mobilgerte sind das nchste
Ziel der Werbefirmen, denn 13,7 Millionen Deutsche surfen mindestens einmal pro Woche mit ihrem Smartphone im Web, so das Ergebnis einer Studie des Bundesverbandes Digitale Wirtschaft. Der Vorteil
von Smartphones: Sie haben meist nur einen Nutzer und ermglichen ber die WLAN- und GPS-Lokalisierung ganz neue Useranalysen. Da Cookies auf Mobilgerten nur sehr begrenzt gespeichert
werden knnen, beschrnkt sich gezielte Mobilwerbung bislang
meist auf Apps, weil die enorm viele Daten auslesen knnen. Das Security-Unternehmen Bitdefender analysierte im November 2012 einige Android-Apps, darunter das beliebte Spiel Paradise Island. Es sendet Telefonnummern und Mailadressen an AirPush.com, die Identifikationsnummer des Gerts an Aarki.net zwei auf Mobilgerte
spezialisierte Werbedienstleister. Andere Apps lesen laut Bitdefender
die Kontaktliste sowie besuchte Websites und Suchanfragen aus. Einige aggressive Adware-Apps verndern dafr die Standardsuchmaschine, sodass sie jede Suchanfrage des Users tracken knnen.
Am wertvollsten ist der Aufenthaltsort des Users. Nutzerprofile
zu erstellen ist extrem einfach, wenn man den Standort des Nutzers
trackt, weil man so viel darber erfhrt, was er gern tut, sagt Sicherheitsforscher Liviu Arsene von Bitdefender. Wenn der Datentracker
ein Smartphone etwa dreimal im Monat in einem Fuballstadion
ortet, ist der Nutzer vermutlich Fuballfan. Er interessiert sich also
wahrscheinlich mehr fr Sportkleidung als fr Damenschuhe und
sieht dann die entsprechende Werbung auf seinem Smartphone.

Google, immer wieder Google

Dieser Nutzeranalyse auf Mobilgerten verschreiben sich immer

mehr Unternehmen, darunter das Start-up Adelphic. Dessen Versprechen: Anhand von 30 Signalen analysiert es die Verhaltensweise
von Handy-Usern. Welche Signale das sind, verrt Adelphic nicht,
nur so viel, dass sie anhand eines Algorithmus erkennen, wie ein
User auf vorherige Werbeangebote reagiert hat. Diese Erkenntnisse
waren Google zehn Millionen US-Dollar wert, als man das Start-up
im Dezember kaufte. Fr Google knnte die Adelphic-Technologie
ein weiterer Schritt sein, die Daten zu verarbeiten, die das Unternehmen mit seinen Mobildiensten wie Latitude oder Now sammelt.
Die groe Kunst fr die Werbefirmen besteht ohnehin darin, die
auf verschiedenen Gerten ber Apps und Browser gesammelten
Datenstze zu kombinieren. Wegen der zunehmenden Fragmentierung der Gertenutzung (PC, Laptop, Tablet, Smartphone) ist es fr
Werbetreibende schwierig, gezielte und damit lukrative Werbung fr
den User einzublenden. Die ehemalige Google-Mitarbeiterin Kamakshi Sivaramakrishnan will dies mit ihrem Start-up Drawbridge
leisten. Der Dienst nutzt statistische Analysen anonymisierter Daten, um den User ber mehrere Gerte zu verfolgen. Dazu analysiert

SO ENTSTEHEN NUTZERPROFILE

USER

Besucht ein User eine Website, beginnen Datentracker mithilfe

von Cookies, sein Verhalten auf der Seite und die Konfiguration
seiner Gerte zu analysieren, um daraus ein Profil zu erstellen
besucht Websites

zum Surfen genutzte Gerte

WEBSHOP

WERBEUNTERNEHMEN
DATENSATZ 1

NACHRICHTEN

analysiert
Websites
mit
Cookies

USER

Aus den
Datenstzen
entstehen

URL, Zeitpunkt
vorher besuchte Seite
angeklickte Produkte
eingegebene Daten

DATENSATZ 2

URL, Zeitpunkt
gelesene Artikel
Log-in-Daten
Gefllt mir-Klicks
besucht nchste
Website

NUTZERPROFILE

WEBSITE

COOKIES IM BERBLICK

Cookies sind die bevorzugte Art der Useranalyse im Web.

Websites und Trackingdienste speichern sie auf dem PC, um
den User beim nchsten Seitenaufruf wiederzuerkennen.

DATENSATZ 3

Telefonnummer
E-Mail
Gerte-ID
Aufenthaltsort

DATENSATZ 4

Betriebssystem
Softwareversionen
installierte Add-ons
IP-Adresse

SMARTPHONE
analysiert
Gerte
mit
Cookies

BROWSER
PC

Auf Basis des Userprofils wird

gezielt Werbung eingeblendet

DATENTRACKER AUF ZALANDO

Auf dem Shoppingportal Zalando fanden wir 29 Datentracker

typisch fr Onlineshops. Die Tracker sind meistens Werbefirmen,
darunter viele aus dem Ausland. Hier eine Auswahl:

HTTP-COOKIE

ZWECK identifiziert Rechner beim Seitenaufruf;

verwaltet Log-in-Daten (Sessioncookie);
speichert Daten fr Unterseiten, etwa Warenkrbe
SPEICHERUNG Format: Textdatei (.txt) oder SQLite-Datenbank;
Ort: lokal im Browser, meist ein Unterordner von
C:\User\Username\AppData\;
maximale Gre: 4 KByte

360YIELD
ADSCALE
APPNEXUS
ATDMT
ATEMDA
CRITEO
DEMDEX
DOUBLECLICK
FACEBOOK
METRIGO
OPENX
PUBMATIC
SMART ADSERVER
SOCIOMANTIC
YIELDLAB
YIELDMANAGER

hollndischer Werbevermarkter
deutscher Werbevermarkter
US-amerikanischer Werbevermarkter
Tracker des Microsoft-Werbedienstes Atlas
schwedischer Werbevermarkter
franzsischer Werbevermarkter
Datentracker von Adobe
Werbedienst von Google
Tracking ber Gefllt mir-Button
deutscher Werbevermarkter
US-amerikanischer Werbevermarkter
Tracker des US-Webhosters GoDaddy
internationaler Werbevermarkter
deutscher E-Commerce-Werbevermarkter
deutscher Werbevermarkter
Werbevermarker von Yahoo

FLASH-COOKIE

ZWECK trackt Flashvideos und interaktive Werbung;

verfolgt den User browserbergreifend;
kann HTTP-Cookies kopieren und wiederherstellen

SPEICHERUNG Format: .sol;

Ort: lokaler Ordner des Flash-Players;
maximale Gre: 100 KByte

SUPERCOOKIE

ZWECK Useridentifizierung und Datenspeicher fr Web-Apps

SPEICHERUNG Format: SQLite-Datenbank;
Ort: direkt im Browser (ber die HTML5-Funktion
DOM-Storage);
maximale Gre: 10 MByte

Schaut man sich bei

Zalando Schuhe an, werden
diese Schuhe auf der
nchsten Website, die man
besucht, wieder angezeigt

D AT E N S C H T Z E N
GOOGLES EINGEKAUFTE WERBEFIRMEN

Die Google-Dienste sind kostenlos, Geld verdient Google mit Onlinewerbung. Dafr hat das Unternehmen viele Firmen bernommen

Datenbasar auf der Amtsstube

Meldemter drfen persnliche Daten verkaufen: Familienname,

Vornamen, Doktorgrad, derzeitige Anschriften und die Information,
ob der Betreffende verstorben ist. Die Nutznieer sind Inkasso-Unternehmen und Krankenkassen, aber auch Firmen, die Kundenanalysen
erstellen oder die mehr als 1.000 Adresshndler Deutschlands. Unternehmen nutzen diese Adressen meist fr Postwerbung. Das ist legal,
solange zumindest ein kleiner Hinweis auf der Werbepost erklrt, woher der Absender die Daten hat. Grundstzlich knnen aber auch
Online-Werbeunternehmen ihre Datenbestnde mit Daten der Meldemter aktualisieren, sagt Michaela Zinke vom vzbv. In welchem
Umfang sie das tun, ist jedoch unklar. Die mter bekommen pro
Adresse bis zu acht Euro. 2011 verdienten sie so 12,1 Millionen Euro.
Damit soll ab Mai 2015 Schluss sein: Die Neuregelung des Meldegesetzes sieht vor, dass kommunale Behrden die Adressdaten der Brger nur nach deren ausdrcklicher Einwilligung weitergeben drfen.
Kann es eine Lsung geben, mit der Websitebetreiber Geld verdienen und den User fair behandeln? In ihrer jetzigen Form heimlich,
ohne praktikable Widerspruchslsung ist Onlinewerbung davon
weit entfernt. Millionen User vertrauen deshalb nach wie vor auf
Werbeblocker im Browser. Zumindest Firefox hat darauf reagiert
und ermglicht es den Usern, das Speichern ihrer Daten zu unterbinden. Denn, so Gary Kovacs, CEO bei Mozilla, Privatsphre sollte
nicht nur optional sein. Wenn Websites dem Nutzer aber zeigen,
welchen Mehrwert die gesammelten Nutzerdaten bieten, etwa weil
sie sinnvolle Produktvorschlge ermglichen, knnen auch die Unternehmen profitieren, sagt Michaela Zinke. Stattdessen behaupten
die Webkonzerne, dass Transparenz ihr Geschftsmodell bedroht
nmlich dann, wenn die Datentracker bekannt gemacht werden und
User die Seite daraufhin meiden. Doch kaum jemand hat es bisher
ausprobiert, sodass auch niemand tatschlich wei, wie die User reagieren wrden, so Zinke. Also bleibt dem Nutzer nur: mit den Webstalkern leben oder sie aussperren.

86

CHIP SICHERHEIT

JAHR

FIRMA

2003 Applied Semantics

2003
Sprinks
2006 dMarc Broadcasting
2007
Adscape
2007
DoubleClick
2009
AdMob
2009
Teracent
2010
Invite Media
2011
Admeld
2012 Wildfire Interactive
2012
Adelphic
2012 Channel Intelligence

PREIS

ZWECK

102 Mio. US-$

Onlinewerbung
unbekannt
Onlinewerbung
102 Mio. US-$
Radiowerbung
In-Game-Werbung
23 Mio. US-$
3,1 Mrd. US-$
Onlinewerbung
750 Mio. US-$ Werbung auf Mobilgerten
unbekannt
Onlinewerbung
81 Mio. US-$
Onlinewerbung
400 Mio. US-$
Onlinewerbung
450 Mio. US-$
Social-Media-Werbung
10 Mio. US-$ Analyse von Mobilgerten
125 Mio. US-$
Onlinewerbung

MARKTANTEILE BEI WERBEUMSTZEN

8342

Kein Unternehmen verdient im Web so viel Werbegeld wie Google.

Facebook kann trotz einer Milliarde User davon nur trumen
GOOGLE

39,0 %

1,5 %
3,1 % 4,0 %

8,3 %

QUELLE:
ZENITHOPTIMEDIA

YAHOO

44,1 %

MICROSOFT
FACEBOOK
AOL
ANDERE

EINNAHMEN DURCH BRGERDATEN 2011

Fr viel Geld verkaufen Meldemter * Personendaten, etwa die

Anschrift. Die Datenstze gehen auch an Online-Werbevermarkter

= 1,94 MIO.

HAMBURG
BERLIN
KLN
STUTTGART
DSSELDORF
DUISBURG
DORTMUND
FRANKFURT/M.
NRNBERG
ESSEN

= 1,34 MIO.

0,89 MIO.

=
= 0,55 MIO.
= 0,55 MIO.
= 0,54 MIO.
= 0,50 MIO.
= 0,50 MIO.
= 0,47 MIO.

0,65 MIO.

* MNCHEN HAT
KEINE ANGABEN
GEMACHT

Privatsphre
sollte nicht nur
optional sein
GARY KOVACS, CEO Mozilla

QUELLE: SPIEGEL ONLINE

er Cookiedaten der verschiedenen Browser (PC, Mobilgerte) und

prft mithilfe eines Algorithmus, ob zwei Cookies zu ein und derselben Person gehren knnten. Ist die Wahrscheinlichkeit hierfr hoch,
werden die Cookies zu einem Datensatz verknpft. Woran der Algorithmus dies erkennt, bleibt freilich geheim. Es scheint jedoch so gut
zu funktionieren, dass bereits einige der grten Mobile-GamesHersteller und Reisewebsites diesen Dienst in der Betaphase nutzen.
Bengstigend ist, dass sich diese Userverfolgung noch steigern
lsst, denn nutzungsbasierte Werbung soll auch auf TV-Gerte kommen. Dazu muss man etwas ber den Menschen vor dem Fernseher
wissen. Sowohl Google als auch der US-Kabelanbieter Verizon haben
Patente angemeldet, die beschreiben, wie sie mithilfe von Kameras
und Mikrofonen in TV-Gerten oder Set-Top-Boxen die Zuschauer
analysieren. Das Verizon-Patent nennt dafr zwei Beispiele: Ein Paar
sitzt vor dem TV und streitet sich woraufhin ihm TV-Werbung fr
eine Paarberatung angezeigt wird. Zweite Szene: Ein Paar kuschelt
auf der Couch und bekommt Werbung fr Verhtungsmittel.
Das klingt unheimlich, und doch ist es das groe Ziel der Werbeindustrie: die Online- und Offline-Aktivitten der Nutzer in der Analyse
zusammenzufhren hnlich wie bei der Ortung von Smartphones.
Ob die in den Patenten beschriebenen Methoden hierzulande legal
wren, ist fraglich. Doch an anderer Stelle verschmelzen digitale und
analoge Daten schon heute.

TIPPS

gegen die Datensammler

Mit wenigen Klicks dmmen Sie
das Tracking im Web ein, lschen
Supercookies und sichern Ihr Handy ab

Dem Datentracking vollstndig zu entkommen, ist unmglich. Mit

unseren Tipps bremsen Sie die Datensammler aber so weit aus, dass
diese kein brauchbares Userprofil mehr von Ihnen anlegen knnen.
Gleichzeitig knnen Sie das Web ohne Komforteinbuen nutzen.
Wollen Sie sich noch vor einem Seitenbesuch informieren, nutzen
Sie die Cookie-Suchmaschine b-versio.verbraucher-sicher-online.de/
jcookie/index.jsp. Das Projekt der TU Berlin zeigt alle Cookies einer
Seite sowie Infos zu den Trackingdiensten an.
Cookies lschen (IE, Firefox, Chrome) Die Cookies von Google werden
Sie am besten mit unserer Vollversion Abelssoft GoogleClean los (siehe Seite 40). HTTP-Cookies knnen Sie direkt im Browser lschen.
Beim IE gehen Sie im Einstellungsmen auf Sicherheit | Browserverlauf lschen und setzen ein Hkchen unter Cookies. Firefox
bietet diese Option unter Einstellungen | Datenschutz | Einzelne
Cookies lschen | alle Cookies lschen. In Chrome gehen Sie zu
Einstellungen | Erweiterte Einstellungen anzeigen | Datenschutz |
Browserdaten lschen. Unter Datenschutz | Inhaltseinstellungen |
Cookies knnen Sie auch festlegen, dass Cookies automatisch beim
Schlieen des Browsers gelscht werden. Flashcookies werden Sie so
aber nicht los, dafr brauchen Sie ein Add-on wie BetterPrivacy
(Firefox) oder Click&Clean (Chrome) beide gibt es als Download unter chip.de. Diese Tools finden und lschen auch Supercookies jedes
Mal, wenn Sie den Browser schlieen. In BetterPrivacy mssen Sie
nichts einstellen, in Click&Clean entfernen Sie dafr unter Private
Daten lschen ... den Haken bei Deaktivieren.
DOM-Storage ausschalten (Firefox) Speichern von Webanwendungsdaten im Browser (DOM-Storage) knnen Sie nur in Firefox deaktivieren. Dazu geben Sie in die URL-Zeile about:config ein, suchen den
Parameter dom.storage.enabled und doppelklicken darauf. Das
setzt den Eintrag auf False, Websites speichern keine Daten mehr.
Trackingliste aktivieren (Internet Explorer) Im IE ist der beste Schutz
vor Datentrackern die Tracking Protection List des Fraunhofer-Instituts. Die Liste mit ber 350 Eintrgen installieren Sie als Plug-in
im IE (ab Version 9). Sie blockiert alle gelisteten Tracker auf einer
Website. Die Liste wird alle drei Tage automatisch aktualisiert.
Mobilgerte konfigurieren (Android, iOS) Seit November 2012 gibt es
endlich fr Android-Smartphones den Werbeblocker Adblock Plus
als App. Diese blockt Werbung auf mobilen Websites, aber auch die
Banner in Apps. Auerdem sollten Sie die GPS-Ortungsfunktion
Ihres Gerts deaktivieren, wenn Sie sie nicht unbedingt bentigen.
In iOS knnen Sie seit Version 6 immerhin das Werbetracking beschrnken. Gehen Sie dazu auf Einstellungen | Allgemein | Info |
Werbung | Ad-Tracking beschrnken einschalten.

Die Tracking Protection List fr den IE findet und blockiert

Tracker auf Websites anhand regelmig aktualisierter Daten

Im Firefox kann man die Datenspeicherung (DOM-Storage) in

den about:config-Einstellungen per Doppelklick deaktivieren

In Android sollte man die GPS-Lokalisierung deaktivieren, da

Trackingdienste diese Daten gern mit Userprofilen verknpfen

CHIP SICHERHEIT

87

D AT E N S C H T Z E N

Es muss nicht immer

Amazon sein

lles Amazon, oder was? Angefangen beim Shopping von

Computer-Zubehr, Unterhaltungselektronik und Videos
ber das Speichern von Daten in der Cloud bis hin zum
Online-Kauf von E-Books, Musik und Filmen es scheint, als
wrde kaum ein Weg am bermchtigen Branchenriesen
vorbeifhren. Aber das ist keineswegs so, schlielich ist nichts im Leben wirklich alternativlos. Welche deutschen Anbieter eine mehr als
gute Alternative zum weltweiten Marktfhrer sind, lesen Sie in diesem Beitrag, in dem wir auf Cloud-Speicherdienste sowie auf das Einkaufen von Bchern, E-Books, Musik, Videos, DVDs/Blu-rays sowie
PC-Zubehr und Elektronik eingehen.

Daten in der Cloud speichern

Sicherheitsbewusste Anwender, die ihre Daten in der Cloud speichern wollen, mchten im Vorfeld wissen, ob der Anbieter eine eigene Server-Infrastruktur betreibt und in welchem Land die Server

88

CHIP SICHERHEIT

stehen. Diese beiden Informationen spielen insofern eine Rolle, als

sie aussagen, ob NSA & Co. im Rahmen des als Patriot Act bekannten
US-Gesetzes in den persnlichen Daten des Anwenders herumschnffeln drfen. Wer keine Lust hat, dass US-Geheimdienstler private Dokumente, Fotos und Videos in Augenschein nehmen, muss
sich fr einen Anbieter entscheiden, der die Dateien in Deutschland
oder zumindest in Europa speichert. Denn weil die Datenschutzgesetze in der Europischen Union deutlich strenger sind als in den
USA, ist die Spionagegefahr auf EU-Territorium wesentlich geringer.
Von den beliebtesten Cloud-Anbietern, darunter Dropbox, SkyDrive und Google Drive, fallen nahezu alle durch den CHIP-Sicherheitscheck, da ihre Server in den USA stehen. Das bedeutet aber
nicht, dass Sie knftig auf das Speichern von Dateien in der Cloud
verzichten mssen. Denn auch deutsche Unternehmen, die ihre
Datacenter hierzulande betreiben, bieten attraktive Cloud-Speicherdienste an. Drei dieser Dienste stellen wir Ihnen vor.

FOTO: FOTOLIA

Wer Online-Shopping sagt, meint in den meisten Fllen das Einkaufen

bei Amazon. Dabei gibt es auch andere interessante Anbieter, die
weniger radikal hinter Ihren privaten Daten her sind
VON ARTUR HOFFMANN

Strato Free HiDrive

Im Rahmen des kostenlosen Cloud-Angebots Free HiDrive

erhalten Sie von Strato 5 GByte Online-Speicherplatz auf
Servern, die in Deutschland stehen

Telekom Cloud

Wer ber die Deutsche

Telekom ins Internet geht
oder ein Entertain-Paket
gebucht hat, bekommt
automatische 26 GByte
Cloud-Speicher fr
E-Mails und das sogenannte Mediencenter
gratis dazu

Cloudsafe: Das in Hamburg ansssige Unternehmen CloudSafe

(www.cloudsafe.com) bietet mit der gleichnamigen Speicherlsung
einen sicheren Web-Speicherplatz auf Servern, die in Deutschland
stehen. Im Rahmen der kostenlosen Nutzung knnen Sie auf zwei
GByte Speicher zugreifen. Wer mehr will, kann fr monatlich 2,99
Euro weitere fnf GByte dazukaufen. Interessantes Detail: Die Dateien werden vor der bertragung verschlsselt, sodass nicht einmal
der Anbieter einen Blick auf die Daten werfen kann.
Free HiDrive: Auch Strato, das vor allem aufgrund seiner WebHosting-Angebote bekannte Berliner Unternehmen, legt die Daten
der Kunden auf Servern ab, die in Deutschland stehen. Wer sich fr
das kostenlose HiDrive-Angebot (www.free-hidrive.com) entscheidet, bekommt 5 GByte Speicherplatz geschenkt. Fr 6,99 Euro pro
Monat lsst sich das Volumen auf 100 GByte erweitern. Ein groer
Pluspunkt: Nach der Installation der Client-Software wird ein neues
Netzlaufwerk angelegt. Das erleichtert die Synchronisierung ungemein, da Sie nicht mehr mit verschiedenen Ordnern, die auf mehreren Partitionen untergebracht sind, hantieren mssen.
Telekom Cloud: Fr den rosa Riesen (www.telekom.de/cloud)war
der Server-Standort Deutschland so wichtig, dass das Unternehmen
immer wieder damit geworben hat. Gehen Sie ber die Telekom ins
Internet oder haben Sie das Entertain-Paket abonniert, stehen Ihnen
im Tarif Mail & Cloud S insgesamt 26 GByte kostenlos zur Verfgung: 1 GByte ist fr E-Mails reserviert, der Rest steht fr das Mediencenter bereit. Fr 4,95 Euro pro Monat knnen Sie den OnlineSpeicher auf bis zu 50 GByte ausweiten.

Bcher, E-Books, Songs und Videos

Buch.de

Auf aktuelle E-Books und Literaturklassiker im weit verbreiteten

ePub-Format sowie gedruckten Lesestoff hat sich der OnlineHndler Buch.de spezialisiert

eBook.de

Auch der Online-Anbieter

eBook.de verkauft sowohl
E-Books im ePub-Format
als auch richtige Bcher

Anwender, die den Werdegang von Amazon verfolgt haben, knnen

sich mit Sicherheit noch an die Anfnge des Branchenriesen erinnern, die vom Verkauf von Bchern geprgt waren. Inzwischen ist
Amazon zu einem Mega-Kaufhaus avanciert, das unter anderem
auch Bier, Schnellkochtpfe und Glhbirnen anbietet. Darber hinaus hat Amazon schon vor Jahren mit dem Verkauf von MP3-Songs
begonnen; E-Books sowie ber das Tochterunternehmen Lovefilm
Filme und TV-Serien sind dazugekommen. Diese Vielfalt bedeutet
aber nicht, dass Amazon der beste Online-Hndler ist. Ganz im Gegenteil, auch andere Anbieter haben einen festen Kundenstamm.
Welche Online-Hndler ihr Geld ebenfalls wert sind, verraten wir
Ihnen im folgenden Abschnitt.
Buch.de: Der Anbieter Buch.de (www.buch.de) erinnert ein wenig an
Amazon in den Anfangstagen, da das Sortiment in erster Linie aus
Bchern und E-Books besteht. Musik-CDs, Video-DVDs und -Blu-rays
sowie Computer-Software und Games sind zwar auch zu haben, allerdings stellen diese Angebote nicht mehr als einen Zusatzservice
dar. Buch.de setzt bei den digitalen Bchern auf das Format ePub.
Das ist sehr kundenfreundlich, da nahezu alle gngigen E-Reader
und mobilen Endgerte dieses Format untersttzen. Die E-Reader
aus der Amazon-Kindle-Reihe gehren nicht dazu, da sie auf die Formate AZW und MOBI setzen.
eBook.de: Auch wenn es die Bezeichnung vermuten lsst, eBook.de
(www.ebook.de), der Anbieter, der frher unter Libri.de firmierte,
bietet nicht nur digitalen Lesestoff. Auch Bcher und Hrbcher finden sich im Sortiment von eBook.de. Wie Buch.de vertraut der Anbieter auf das weit verbreitete EPUB-Format, sodass Sie die erworbenen E-Books auf nahezu allen E-Readern und Mobilgerten lesen
knnen. Neben Tausenden Vollpreistiteln gibt es auch reduzierte

CHIP SICHERHEIT

89

D AT E N S C H T Z E N

E-Books ab 0,99 Euro im Angebot. Sogar kostenlose E-Books lassen

sich herunterladen, dabei handelt es sich allerdings meist um Titel,
bei denen die Urheberrechte ausgelaufen sind.
Apple iTunes Store: Keine Frage, im Vergleich zu Apples iTunes
Store (www.apple.com/de/itunes) ist Amazon MP3 ein Tante-EmmaLaden. Apples Angebot ist um ein Vielfaches grer, die Navigation
durch das Sammelsurium von Songs und Alben ist wesentlich einfacher, und auch die Extrafunktionen sind benutzerfreundlicher. Der
einzige Nachteil: Nicht jeder Anwender ist gewillt, die zum Einkauf
im iTunes Store zwingend erforderliche, im Laufe der Jahre immer
schwerflliger gewordene Software iTunes zu installieren.
Eine gute Alternative zum Kauf von MP3-Songs ist das Mieten.
Mglich machen das Services wie Spotify Premium (www.spotify.
com/de), Deezer Premium+ (www.deezer.com/de) und Napster Music Flatrate + Mobile (www.napster.de). Der Grundgedanke: Sie bezahlen eine monatliche Gebhr von rund zehn Euro und drfen im
Gegenzug Musik ohne Einschrnkungen streamen und auf PCs sowie portable Gerte laden. Ist das Abonnement abgelaufen, lassen
sich die Songs nicht mehr wiedergeben.

Songs im Monatsabo

Bei Spotify, Deezer und Napster knnen Sie sich fr eine Monatsgebhr rund um die Uhr musikalisch unterhalten lassen

Videos streamen, leihen und kaufen

Wie schon erwhnt, mischt Amazon mit seinem Tochterunternehmen Lovefilm auch im Videogeschft mit. Sie knnen aktuelle Streifen, Filmklassiker und TV-Serien entweder direkt ber das Internet
streamen, oder Sie leihen sich DVDs und Blu-rays aus. Das Angebot
ist ziemlich gro. Kino-Fans und Serien-Junkies, die sich von aktuellen Hollywood-Filmen und TV-Serien unterhalten lassen mchten,
finden aber auch abseits von Amazons Lovefilm Nachschub.
Maxdome: Das von der ProSiebenSat.1 Media AG betriebene Videoportal Maxdome (www.maxdome.de) gehrt zu den deutschen OnDemand-Vorreitern. Zwei Wege stehen Ihnen offen, um das Angebot
zu nutzen: Entweder Sie bezahlen fr jeden Film einzeln (Pay per
View) oder Sie schlieen ein Abonnement ab und erhalten Zugriff
auf die komplette SD- und HD-Videosammlung von Maxdome, die
nach eigenen Aussagen mehr als 50.000 Titel umfasst, darunter die
TV-Serienhits The Walking Dead und Breaking Bad. Pay-per-ViewFilme sind ab 0,49 Euro (Ausleihen) respektive 4,99 Euro (Kauf) zu
haben, das Video-on-Demand-Abo schlgt monatlich mit 14,99 Euro
zu Buche. Die Filme lassen sich auf PCs, modernen Smart-TVs sowie
iPad, iPhone und iPod Touch wiedergeben.
Videoload: Auch die Deutsche Telekom verfgt mit Videoload
(www.videoload.de) ber ein eigenes Videoportal. Vier verschiedene
Abo-Angebote stehen zur Auswahl: Filme, Dokus, Kids und TV-Serien. Die drei erstgenannten kosten monatlich jeweils 4,99 Euro, fr
die Serien mssen Sie pro Monat 9,99 Euro ausgeben. Dafr knnen
Sie sich von Top-TV-Serien wie Luther, Falling Skies und Spooks
unterhalten lassen. Pay-per-View ist ebenfalls mglich, sodass Sie
SD- und HD-Videos ausleihen und erwerben knnen. Kunden, die
sich fr das Entertain-Angebot der Deutschen Telekom entschieden
haben, empfangen Videoload direkt ber den vom Anbieter zur Verfgung gestellten Receiver. Alle anderen streamen die Streifen ber
ihren PC oder Smart-TVs von Samsung. Android- oder iOS-Apps bietet Videoload dagegen nicht an.
Watchever: Relativ neu im Video-On-Demand-Geschft ist Watchever (www.watchever.de). Fr eine monatliche Gebhr von 8,99 Euro
erhalten Sie Zugriff auf das komplette SD- und HD-Videosortiment,
das Herstellerangaben zufolge Zehntausende Filme und TV-Serien

90

CHIP SICHERHEIT

Filme und TV-Serien auf Maxdome

Die Online-Videothek verleiht und verkauft Filme nach dem

Pay-per-View-Prinzip und bietet auch ein Monatsabo an
umfasst, darunter Sherlock, Mad Men und Californication.
berzeugend ist die Anzahl der untersttzten Endgerte. Neben
PCs und Smart-TVs von Samsung, Philips, LG und Panasonic knnen
Sie das Watchever-Angebot auch auf iOS- und Android-Gerten,
Apple TV sowie den Videospiel-Konsolen Sony PlayStation 3 und
Microsoft Xbox nutzen.
Und wer Filme gerne auf DVD oder Blu-ray haben will, findet
im Internet Dutzende Online-Stores, die sich auf den Verkauf und
Verleih spezialisiert haben. Interessant ist etwa Verleihshop.de
(www.verleihshop.de), Eigenaussagen zufolge die grte OnlineVideothek Deutschlands und sterreichs. Neben DVDs und Blu-rays
knnen Sie auch Spiele und Hrbcher ausleihen. Videobuster.de
(www.videobuster.de) verleiht ebenfalls DVDs und Blu-rays. Darber hinaus bietet der Service aber auch ein On-Demand-Angebot.

PC-Zubehr und Elektronik

Auch in Sachen Unterhaltungselektronik, PC-Hardware und Haushaltsgerte steht Amazon in der Beliebtheitsskala der Online-Shops
ganz vorne. Hauptgrund dafr ist das schier unendlich groe Sortiment. Angefangen bei USB-Sticks ber PCs, Notebooks und Tablets

INFO
ZALANDO & CO.

DVDs und Blu-rays bei Verleihshop.de

Mchten Sie sich Filme und TV-Serien auf DVD oder Blu-ray
ausleihen, ist Verleihshop.de eine sehr gute Anlaufstelle

Birkenstock- oder Buffalo-Schuhe? Tom-Tailor-oder TrueReligion-Jeans? Anzug von Boss oder Brooks Brothers? Ob
Frau oder Mann, modern oder klassisch, gnstig oder exklusiv
im Online-Kaufhaus Zalando (www.zalando.de) wird mit
Sicherheit jeder fndig. Das Angebot ist wesentlich grer als
bei Amazon, was nicht zuletzt daran liegt, dass sich Zalando auf
Schuhe, Bekleidung und Accessoires beschrnkt. Mbel und
andere Einrichtungsgegenstnde gibt es zwar auch, sie spielen
aber nur eine untergeordnete Rolle. Beliebt bei modebewussten Online-Shoppern sind auch die Anbieter Brands4Friends (www.brands4friends.net), Frontlineshop (www.
frontlineshop.com) und 7Trends (www.7trends.de), ein Anbieter, der sich auf den Verkauf von Damenmode spezialisiert hat.

Stilsicher

Modebewusste OnlineShopper sind bei

Zalando und Frontlineshop in guten Hnden

Hardware & Consumer Electronics

PCs, Computerzubehr, Unterhaltungselektronik und Haushaltsgerte knnen Sie bei Cyberport auch per iOS-App einkaufen

Notebooksbilliger.de

Auch Notebooksbilliger.de ist eine sehr gute Anlaufstelle fr PCs,

Notebooks, Tablets, Unterhaltungselektronik und Haushaltsgerte.
Der Anbieter betreibt auch drei stationre Stores
bis hin zu ausgewachsenen Servern, die Zehntausende Euro kosten
bei Amazon gibt es nichts, was es nicht gibt.
Allerdings werden bei Weitem nicht alle Waren direkt von Amazon angeboten. Denn weil sich der Online-Riese auch als offene Handelsplattform versteht, knnen auch Dritte ihre Produkte via Amazon zum Verkauf stellen. Somit spielt es im Grunde genommen keine Rolle, ob Sie bei Amazon oder in einem der im Folgenden vorgestellten Online-Shops einkaufen.

Cyberport: Das Angebot von Cyberport (www.cyberport.de) ist zwar

um ein Vielfaches kleiner, dafr umfasst es aber das Wesentliche:
PCs nebst Zubehr, Unterhaltungselektronik sowie die auch als Weie Ware bezeichneten Haushaltsgerte bietet der Online-Hndler,
der seit 1999 im Geschft ist, auf seiner Webseite an. Der Zugriff auf
die einzelnen Produkte erfolgt ber die jeweiligen Rubriken, auch
eine Suchfunktion, die den kompletten Warenbestand scannt, ist
vorhanden. Schnppchenjger werden in der Rubrik Breaking News
& Aktionen fndig. Sehr kundenfreundlich: Die Bestellung ist auch
auf telefonischem Weg mglich, und der Support ist ber eine
normale Festnetznummer zu erreichen. Und wer gerne mobil einkaufen mchte, profitiert von der Cyberport-App, die fr alle iOSGerte zur Verfgung steht.
Notebooksbilliger.de: Der Gewinner des Deutschen Online-Handels-Awards 2013 in der Kategorie Computer & CE hat in seinen
Anfangszeiten tatschlich nur Notebooks verkauft. Inzwischen
bietet Notebooksbilliger.de (www.notebooksbilliger.de) aber auch
Unterhaltungselektronik und Weie Ware an. Dazu gehren unter
anderem auch Khlschrnke, Espressomaschinen und Hochdruckreiniger. Um das gesuchte Produkt zu finden, klicken Sie sich entweder durch die einzelnen Rubriken oder nutzen die Suchfunktion.
Neben preisreduzierten Produkten, die in der Rubrik Schnppchen
& Gutscheine zusammengefasst sind, verkauft Notebooksbilliger.
de auch Gebraucht- & Vorfhrware. Super Service: Die offizielle
App des Online-Hndlers gibt es sowohl fr iOS- als auch fr Android-Gerte. Zudem betreibt der Anbieter inzwischen auch drei Ladengeschfte in Mnchen, Dsseldorf und Sarstedt.

CHIP SICHERHEIT

91

D AT E N S C H T Z E N

Datensicherung

mit Versionsverwaltung

Mithilfe des Dateiversionsverlaufs lassen sich unter Windows 8 verschiedene

Versionen ausgewhlter Dateien sichern und bei Bedarf wiederherstellen. Wir
zeigen Ihnen, wie Sie in der Praxis davon profitieren V O N A R T U R H O F F M A N N

INFO
BACKUP MIT ZUSATZ-SOFTWARE

Der Dateiversionsverlauf ist nicht in der Lage, beliebige Ordner

zu sichern. Dieser Umstand drfte alle Anwender stren, die
ihre persnlichen Dateien weder auf der Systempartition gespeichert noch mit den Standard-Bibliotheken verknpft haben.
Diese Nutzer mssen auch zuknftig Geld in eine Datensicherungssoftware investieren oder sofern sie im Besitz eines
NAS-Systems sind die zum Lieferumfang des Gerts gehrende Anwendung verwenden. Alternativen gibt es zuhauf. Sind
Sie auf der Suche nach einer einfach zu bedienenden Lsung,
die sich vielfltig konfigurieren lsst, empfiehlt sich Acronis
True Image 2013 (www.acronis.de, etwa 50 Euro). Das Programm sichert ebenfalls mehrere Versionen einer Datei und
ist sogar in der Lage, Backups in der Cloud zu speichern. Gute
Dienste leistet auch Paragon Backup & Recovery 12 Home
(paragon-software.com/de, etwa 30 Euro). Wer kein Geld investieren mchte, sollte sich die Freeware-Tools Personal Backup
und Areca Backup nher ansehen (beide auf DVD ).

92

CHIP SICHERHEIT

ine der wichtigsten Neuerungen von Windows 8 ist der Dateiversionsverlauf, der ausgewhlte Dateien in regelmigen Abstnden sichert. Noch besser: Es werden verschiedene Versionen der einzelnen Daten gespeichert, sodass Sie problemlos
eine ltere Version eines Dokuments wiederherstellen knnen. Das Prinzip hnelt dem Time-Machine-Backup aus Mac OS X.
Da der Dateiversionsverlauf grundstzlich keine Sicherungen auf
der Systempartition speichert, muss Ihr Rechner entweder ber eine
zweite Partition respektive Festplatte verfgen oder mit einem USBWechsellaufwerk ausgestattet sein. Ebenfalls mglich ist es, die Daten auf einem freigegebenen Netzlaufwerk zu sichern.

Sichert nur die Standard-Bibliotheken

Einziger Nachteil dieser ansonsten praktischen Funktion: Einzelne

Verzeichnisse lassen sich nicht auswhlen. Der Dateiversionsverlauf
kmmert sich nur um die Standard-Bibliotheken von Windows 8.
Anwender, die von dieser Funktion profitieren wollen, mssen die
so zu sichernden persnlichen Dokumente und Multimediadateien
auf der Systempartition speichern oder Verknpfungen dazu in den
Bibliotheken anlegen. Das htte Microsoft besser lsen knnen.

1
2

SO GEHTS

Dateiversionsverlauf aktivieren In der Desktop-Umgebung

Erste Datensicherung durchfhren Nun beginnt Windows 8

Einstellungen anpassen In der Grundeinstellung sichert

Ordner von der Sicherung ausschlieen Sollen nicht alle

Gesicherte Daten wieder einspielen Das Wiederherstellen

von Windows 8 drcken Sie die Tastenkombination

[Windows]+[X] und klicken oder tippen auf den Eintrag Systemsteuerung. Ist auf Ihrem Computer die Kategorienansicht aktiviert, whlen Sie unter System und Sicherheit den Eintrag Sicherungskopien von Dateien mit dem Dateiversionsverlauf speichern. Ansonsten entscheiden Sie sich fr Dateiversionsverlauf. Unabhngig davon, wie Sie vorgegangen sind, landen Sie
im Dialog Dateiversionsverlauf. Um diese sehr empfehlenswerte Funktion zu aktivieren, whlen Sie die Schaltflche Einschalten aus. Windows will anschlieend wissen, ob dieses
Laufwerk auch den anderen Mitgliedern der Heimnetzgruppe
empfohlen werden soll. Da es in diesem Tutorial um das lokale
Backup geht, klicken wir auf Nein.

mit dem Backup der Dateien. Dabei kopiert das Betriebssystem alle in den Standard-Bibliotheken Bilder, Dokumente, Musik und Videos abgelegten respektive die in
diesen Bibliotheken verknpften Elemente, die Desktop-Einstellungen sowie Kontakte und Favoriten. Je nachdem, wie gro die
Standard-Bibliotheken sind, kann dieser Vorgang durchaus eine
Stunde und lnger dauern. Sie knnen einen Blick auf den Status
werfen, indem Sie den Datei-Explorer starten, zum Sicherungslaufwerk wechseln und den Ordner FileHistory ffnen.

diese Funktion die ausgewhlten Daten stndlich. Zudem

werden die gesicherten Dateien nie wieder gelscht. Wollen Sie
diese Einstellungen an Ihre Wnsche anpassen, klicken Sie im Dialog Dateiversionsverlauf auf den links platzierten Eintrag
Erweiterte Einstellungen und passen die Optionen Speichern
von Dateikopien: und Aufbewahrung gespeicherter Versionen: an. In der Praxis bewhrt haben sich die Einstellungen
Alle 3 Stunden und 6 Monate. Verlassen Sie diesen Dialog
mit einem Klick auf die Schaltflche nderungen speichern.

Standard-Bibliotheken automatisch gesichert werden, whlen

Sie im Dialogfenster Dateiversionsverlauf den Befehl Ordner
ausschlieen und danach die Schaltflche Hinzufgen. Markieren Sie die entsprechende Bibliothek und verlassen Sie den
Dialog mit Ordner auswhlen und nderungen speichern.

der gesicherten Daten ist kinderleicht. Im Dialog Dateiversionsverlauf nutzen Sie dafr den Befehl Persnliche Dateien
wiederherstellen. Anschlieend markieren Sie die wiederherzustellenden Elemente, klicken mit der rechten Maustaste auf die
grne Schaltflche und entscheiden sich fr Wiederherstellen.
Whlen Sie Wiederherstellen in, knnen Sie den Zielordner
auswhlen. Mit den Pfeiltasten blttern Sie brigens durch die
einzelnen Sicherungsversionen.

CHIP SICHERHEIT

93

D AT E N S C H T Z E N

Sie mchten Ihre Daten keinem Fremdanbieter anvertrauen und haben bislang auf Cloud-Lsungen verzichtet?
Mit Ubuntu und ownCloud behalten Sie
die Kontrolle ber Ihre Daten
VON JRGEN DONAUER

eit den Enthllungen rund um das Sphprogramm Prism

ist klar: Cloud-Dienste sind ein Sicherheitsrisiko zu undurchsichtig sind die Datenschutzbestimmungen, zu leicht
lsst sich die Verschlsselung aushebeln, und wer im Endeffekt Zugriff auf Ihre Daten hat, ist mehr als ungewiss.
Mit ownCloud knnen Sie dagegen nicht nur Ihre Daten selbst
hosten, sondern auch Kontakte und Kalender mit anderen Applika-

94

CHIP SICHERHEIT

tionen abgleichen. In diesem Workshop zeigen wir Ihnen, wie Sie eine ownCloud-Instanz auf einem Ubuntu-Server 12.04 LTS installieren. Ideal fr diese Aufgabe ist etwa ein ausgemusterter, aber
noch halbwegs leistungsfhiger PC.
Whrend Sie den Ubuntu-Server aufsetzen, fragt der Installations-Assistent Sie nach zu installierender Software. Geben Sie an
dieser Stelle mindestens OpenSSH Server und LAMP Server an. Ersteres erleichtert spter die Fernwartung, und den LAMP-Stack brauchen Sie im Folgenden fr die ownCloud-Instanz.
Mchten Sie die neueste Version von ownCloud installieren, knnen Sie das aktuelle Archiv auf der Projektseite ownCloud.org herunterladen. Dazu mssen Sie allerdings alle notwendigen Pakete
manuell installieren. Fr viele Linux-Distributionen, darunter auch
Ubuntu, stellen die Entwickler ein separates Repositorium zur Verfgung. Verwenden Sie dieses, schlagen Sie gleich zwei Fliegen mit
einer Klappe. Bei der Erstinstallation lst das ownCloud-Paket alle
notwendigen Abhngigkeiten auf und installiert die bentigten Pakete. Weiterhin bekommen Sie durch den Einsatz von Online-

FOTO: JAKUB BAUKE

Ihre Daten in der

eigenen Cloud

INFO
DEM CLOUD-SERVER EINE FESTE
IP-ADRESSE ZUWEISEN

Ubuntu Server 12.04 LTS zu installieren ist unkompliziert. Der

Installations-Assistent greift Ihnen unter die Arme und erledigt
die meisten Aufgaben fr Sie. Allerdings knnen Sie keine feste
IP-Adresse vergeben, was fr einen Server wichtig ist. Bei
einem Neustart knnte sich sonst die IP-Adresse ndern, und
Sie mssten sie erst wieder herausfinden. Deswegen ist es
sinnvoller, dem Server eine feste IP-Adresse zu geben.
Ermitteln Sie zunchst mit dem Befehl ifconfig die Bezeichnung der Netzwerkkarte. In der Regel sollte das eth0 sein.
Im Anschluss ffnen Sie die Datei /etc/network/interfaces
sudo nano /etc/network/interfaces

OpenSSH und LAMP sollten Sie whrend der Server-Installation

ankreuzen. Das erleichtert den Umgang mit ownCloud

und fgen die nachfolgenden Zeilen ein. Wir gehen davon aus,
dass Ihr Heimnetzwerk 192.168.100.x ist und der Router fr
Internet-Zugriffe die Adresse 192.168.100.1 hat. Die Zeilen
auto eth0 und iface eth0 inet dhcp befinden sich bereits in
der Datei. Das Konstrukt sieht nach den nderungen so aus:
auto eth0
iface eth0 inet static
address 192.168.100.55
netmask 255.255.255.0
gateway 192.168.100.1

Starten Sie nun den Server neu, verfgt er ber die feste IPAdresse 192.168.100.55, unter der ownCloud immer erreichbar
ist. Sollten Sie den Server ohne Bildschirm betreiben und haben
bei der Installation OpenSSH server angekreuzt, finden Sie
nun den Rechner auch fr die Fernwartung ber SSH wieder.
Allerdings hat der Server nun keinen Zugriff zum Internet
mehr, weil die DNS-Auflsung nicht mehr funktioniert. Um das
zu korrigieren, ndern Sie die Datei /etc/resolv.conf und
geben einen Nameserver ein. In der Regel reicht an dieser Stelle auch die IP-Adresse des Routers. Sie knnen aber auch die
Adressen von OpenDNS verwenden:
nameserver 208.67.222.222
nameserver 208.67.222.220

Bei einem Neustart wrden diese nderungen allerdings berschrieben. Auf einem Server mit fester IP-Adresse deinstallieren Sie deshalb am besten das Programm resolvconf:
MySQL ist die bessere Wahl als SQLite, denn es gibt einen groen
Geschwindigkeitsunterschied zwischen den beiden Datenbanken

Updates stets die aktuelle Version, ohne selbst eingreifen zu mssen. Sie finden die Links und Installations-Anweisungen fr die
verschiedenen Distributionen unter http://bit.ly/10JnZRB. In Bezug auf Ubuntu 12.04 LTS sieht die Prozedur, die mit root-Rechten
durchzufhren ist, wie folgt aus:
echo deb http://download.opensuse.org/repositoriesisv:ownClou
d:community/xUbuntu_12.04/ / >> /etc/apt/sources.list.d/
ownCloud.list
wget http://download.opensuse.org/repositories/
isv:ownCloud:community/xUbuntu_12.04/Release.key
apt-key add - < Release.key
apt-get update
apt-get install ownCloud

Danach ist ein Neustart des Apache-Webservers notwendig, um die

neuen PHP-Module zu laden:
sudo service apache2 restart

Nun knnen Sie die ownCloud ber folgenden Link aufrufen und
vollstndig einrichten:

sudo apt-get remove resolvconf.

http://<IP-Adresse Ihres Servers>/ownCloud

ownCloud-Instanz einrichten

Es bietet sich an, dem Server eine fixe IP-Adresse zuzuweisen. Eine
Anleitung dazu finden Sie im Kasten oben auf dieser Seite. Ansonsten knnten Sie die ownCloud zum jetzigen Stand durch den Einsatz
von SQLite bereits abschlieen. Davon raten wir Ihnen allerdings ab,
da mit dem Einsatz von SQLite die ownCloud wesentlich langsamer
ist als mit MySQL. Somit richten wir zunchst eine Datenbank fr
die OwnCloud ein.
Melden Sie sich zunchst an der MySQL-Konsole als root an
und verwenden das MySQL-Passwort, das Sie whrend der Installation mit LAMP am Anfang vergeben haben:
mysql -u root -p

Die Datenbank selbst legen Sie mit diesem Befehl an:

create database ownCloud;

wobei ownCloud der Name unserer Datenbank ist. Sie knnen

auch eine andere Bezeichnung verwenden. Allerdings sind spre-

CHIP SICHERHEIT

95

D AT E N S C H T Z E N

chende Namen einfacher fr nachtrgliche Wartungsarbeiten.

Schlieen Sie nun die MySQL-Konsole mit der Eingabe von quit.
Zurck im Browser-Fenster, mit dem Sie auf die ownCloud zugegriffen haben, legen Sie nun das Administratorkonto an. Whlen Sie
MySQL als Datenbank und geben Sie die entsprechenden Variablen
ein. Den Administrator-Namen knnen Sie frei whlen. Beim DateiOrdner muss der Apache-Benutzer www-data Lese- und Schreibrechte haben. Darum sollte sich allerdings die Konfigurations-Maske
kmmern. Datenbank-Anwender ist in unserem Fall root mit entsprechendem Passswort. Die Datenbank selbst haben wir, wie gesehen, als ownCloud angelegt, und der Datenbank-Server ist localhost, also unser frisch aufgesetzter Ubuntu-Server.
Sobald Sie nun auf Finish Setup klicken, meldet Sie die Software als Administrator an. Ein Willkommensfenster weist Sie auf die
Desktop-Apps hin und wie Sie bestimmte Anwendungen nach Belieben an die ownCloud andocken.

Erste Schritte mit ownCloud

Unsere erste Handlung fhrt nach rechts oben. Klicken Sie auf den
Benutzernamen und bei dem sich ffnenden Men auf Persnlich. Dort knnen Sie in der vierten Zeile die Sprache auf Deutsch
umstellen. Die ownCloud kann sehr hflich sein, denn es gibt
Deutsch (Persnlich) und Deutsch (Frmlich: Sie).
Als nchsten Schritt klicken Sie wieder auf den Benutzernamen
und Apps. An dieser Stelle finden Sie Zusatzmodule fr die ownCloud, von denen einige standardmig aktiviert sind. Dazu gehren etwa Kontakte, Kalender und ein PDF-Betrachter.
Ein weiterer Menpunkt unter dem Benutzernamen ist Administrator. Dort knnen Sie ownCloud-Instanzen exportieren, Benutzern das Teilen von Links erlauben oder verbieten und HTTPS
erzwingen. Weiter knnen Sie festlegen, wie per Cron-Job automatisierte Aufgaben starten sollen.
Unter Benutzer legen Sie neue Anwender-Konten und Gruppen an. Die Anwender knnen Sie bestimmten Gruppen zuweisen.
In dieser Maske legen Sie auch sogenannte Quotas fest. Das ist der
maximale Speicher, der jedem einzelnen Anwender zur Verfgung
steht. Auch fr sich selbst sollten Sie einen normalen Anwender anlegen. Denn in der Regel verwendet man das Systemverwalter-Konto
nur fr administrative Aufgaben.
Dazu geben Sie einfach bei Loginname und Passwort die
gewnschten Daten ein. Klicken Sie auf das Feld rechts daneben,
knnen Sie eine neue Gruppe anlegen. Wir haben user verwendet
und den neuen Anwender dieser Gruppe zugewiesen.
Meldet er sich an, hat er beim Aufrufen des Benutzermens
wesentlich weniger Rechte. Er kann zum Beispiel persnliche Ein-

INFO
NTZLICHE TIPPS ZU OWNCLOUD

Dateien in Ordner zu verschieben, funktioniert ganz einfach per

Drag&Drop. Halten Sie die Datei mit der linken Maustaste fest,
ziehen Sie sie in den Ordner und lassen Sie die Maustaste los.
Die maximale Upload-Gre einer Datei stellen Sie in der
Datei .htaccess im ownCloud-Installationsordner ein. Standardmig betrgt die Upload-Gre 513 MByte.

96

CHIP SICHERHEIT

Die Bilder-Galerie ist wunderschn gemacht. Fahren Sie mit der

Maus vertikal ber ein Album, ndert sich das Vorschaubild
stellungen wie die Sprache ndern, aber keine Apps aktivieren oder
deaktivieren. Um die Datei-, Kalender- oder Kontakt-Dienste zu
nutzen, melden wir uns als Administrator ab und mit dem neuen
Benutzerkonto wieder an.
Auch der neue Nutzer bekommt wieder den schon erwhnten Begrungsbildschirm prsentiert. Klicken Sie dort auf der linken Seite auf Dateien. Anschlieend nutzen Sie das Pfeil-Symbol, um
erste Dateien hochzuladen. ber Neu drfen Sie auch Ordner,
Textdateien und Von einem Link anlegen.
Achtung: ber die Menpunkte Musik und Bilder lassen sich
keine Dateien hochladen. Diese generieren aus der in Ihrer ownCloud befindlichen Instanz die Inhalte selbst. So listet Ihnen Musik automatisch alle erkannten Musikstcke auf, die Sie auch sofort
ber diesen Menpunkt abspielen knnen. Ganz hnlich funktioniert das mit Bildern. Dafr knnen Sie aber in Kalender und
Kontakte eigene Inhalte ablegen.

WebDAV, CalDAV und CardDAV

Auf die ownCloud knnen Sie nicht nur via Browser zugreifen.
Die ownCloud-Instanz lsst sich auch per WebDAV als entferntes
Laufwerk einbinden. Die Adresse finden Sie in den bereits erwhnten persnlichen Einstellungen. Sie hat das folgende Format:
http://<Server-Adresse>/ownCloud/remote.php/webdav/. Kopieren Sie darber Dateien auf die ownCloud-Instanz, erscheinen diese
auch in der Browser-Oberflche. Wrden Sie einfach Dateien in den
Daten-Ordner des Anwenders kopieren, nhme ownCloud diese
nicht in die Datenbank auf. Derzeit werden drei Methoden untersttzt, um in Ihrer persnlichen Wolke Daten unterzubringen: via
Browser, WebDAV oder mit dem Sync-Client.
CalDAV ist ein offenes Protokoll, mit dem Sie Kalender-Daten
synchronisieren knnen. Mchten Sie etwa Mozilla Thunderbird
mit der ownCloud abgleichen, brauchen Sie die Erweiterung
Lightning. Die finden Sie im Add-On-Manager des Mozilla-Clients.
Legen Sie an dieser Stelle einen neuen Netzwerk-Kalender an,
knnen Sie CalDAV als Protokoll angeben. Die zu verwendende
Adresse finden Sie im Kalender der OwnCloud. Klicken Sie auf
das kleine Rdchen unterhalb des Anwender-Mens und danach auf
die kleine Weltkugel neben Default calendar. Das Format der URL
fr den Standard-Kalender sieht ungefhr folgendermaen aus:

INFO
ANDROID SYNCHRONISIEREN

Der Synchronisations-Client bietet die Mglichkeit, mehr als einen

Ordner Ihres Rechners mit ownCloud abzugleichen
http://<Server-Adresse>/ownCloud/remote.php/caldav/calendars/ <Anwendername>/defaultcalendar.
hnlich wie bei CalDAV verhlt es sich bei CardDAV. Der Unterschied besteht darin, dass dieses Protokoll dem Austausch von Kontaktdaten oder Adressbchern dient. Den richtigen CardDAV-Link
finden Sie links unten hinter dem Rdchen und der Weltkugel rechts
neben dem Standard-Adressbuch Contacts. Das Format sieht in
diesem Fall so aus: http://<Server-Adresse>/ownCloud/remote.
php/carddav/addressbooks/<Anwendername>/contacts. Um Thunderbird damit zu synchronisieren, eignet sich der Inverse SOGo
Connector sehr gut (bit.ly/j35mrS). Ist diese Erweiterung installiert,
knnen Sie bei Thunderbird ein neues Remote-Adressbuch anlegen.
Dort geben Sie bei der URL die CardDAV-Adresse an.

Mit dem Desktop synchronisieren

Haben Sie eine OwnCloud-Instanz aufgesetzt, knnen Sie mit Hilfe

der Synchronisations-Clients bestimmte Ordner direkt mit der
Datenwolke abgleichen. Sie kennen das Prinzip sicher von Dropbox
oder Ubuntu One. Sie finden die Sync-Clients fr Linux, Windows
und Mac OS X unter ownCloud.org/sync-clients. Linux-Anwender
knnen hnlich wie bei der Server-Installation Repositories fr
bekannte Distributionen hinzufgen. Fr Ubuntu 12.10 sieht die
Prozedur wie folgt aus:
echo deb http://download.opensuse.org/repositories/
isv:ownCloud:devel/xUbuntu_12.10/ / >> /etc/apt/sources.list.d/
ownCloud-client.list
wget http://download.opensuse.org/repositories/
isv:ownCloud:devel/xUbuntu_12.10/Release.key
apt-key add - < Release.key
apt-get update
apt-get install ownCloud-client

Anschlieend knnen Sie den ownCloud-Client starten. Zunchst

fragt die Applikation nach der Adresse der ownCloud-Instanz. In
unserem Fall wre das <IP-Adresse des Servers>/ownCloud. In der
Maske hinterlegen Sie auerdem den Anwender-Namen und das zugehrige Passwort. Sie knnen diese Maske spter ber einen Rechtsklick auf das ownCloud-Symbol in der Taskleiste aufrufen. In unserem Fall lassen wir das Hkchen bei der sicheren Verbindung weg,
da wir den internen Server nicht mit https ausgestattet haben.

Wollen Sie Android mit der ownCloud synchronisieren, brauchen Sie zustzliche Apps dafr. Bei uns hat das am besten mit
den beiden Apps CardDAV-Sync beta und CalDAV-Sync beta
(beide von Marten Gajda) funkioniert. Die Apps kosten jeweils
um die 2,50 Euro.
Nach der Installation der Apps legen Sie in Android ein neues
CardDAV-Konto an. Sie brauchen auch dort wieder den im
Artikel erwhnten CardDAV-Link. Eine Schritt-fr-SchrittAnleitung fr das Synchronisieren der Android-Kontakte finden
Sie unter bit.ly/YApkZp.
Sehr hnlich funktioniert das auch mit dem Abgleichen von
Kalender-Daten. Sie legen ein CalDAV-Konto an und hinterlegen den entsprechenden Link plus die Anmeldedaten in der
App. Unter Android haben Sie nun einen zustzlichen Kalender.
Geben Sie darin Daten ein, knnen Sie diese inklusive Erinnerungen mit ownCloud synchronisieren. Eine Anleitung, wie Sie
Kalender-Daten zwischen Thunderbird, ownCloud und Android
verbinden, finden Sie unter bit.ly/119JiP3.

Diese Prozedur legt gleichzeitig den Ordner ownCloud auf dem

Desktop an und synchronisiert alle darin abgelegten Daten auf den
Server in Ihren persnlichen Speicher unter dem Ordner ownCloud. ber den Client knnen Sie auch weitere Ordner fr eine
Synchronisation eingeben. An dieser Stelle ist zu beachten, dass Sie
niemals das Wurzelverzeichnis auf der ownCloud-Instanz angeben,
sonst ist ein Hinzufgen weiterer Ordner nicht mehr mglich.

ownCloud-Instanz sichern

Fr eine Datensicherung knnen Sie das Web-UI nutzen. Allerdings

ist die Automatisierung des Backups dort eher umstndlich. Da wir
die ownCloud auf unserem eigenen Server installiert haben, nutzen
wir besser die Werkzeuge, die uns Linux zur Verfgung stellt.
In unserem Fall liegt die Konfigurationsdatei im Ordner /var/
www/ownCloud/config und nennt sich config.php. Diese sichern
wir auf jeden Fall. Das Gleiche gilt fr den kompletten Ordner /var/
www/ownCloud/data, in dem alle Anwenderdateien liegen. Dafr
knnen Sie eine externe Festplatte und die bekannten installierten
Tools rsync oder tar nutzen.
Um die Datenbank zu sichern, mssen wir MySQL direkt anzapfen. So knnen wir die Daten in Form einer .sql-Datei speichern. In
unserem Fall sieht der Befehl, den Sie als root eingeben, so aus:
mysqldump -u root -pPasswort ownCloud > ownCloud.sql

Achten Sie darauf, dass sich zwischen der Option -p und dem Passwort fr die Datenbank kein Leerzeichen befindet. Das ownCloud
nach dem Passwort ist der Name, den Sie fr die Datenbank vergeben haben. Der .sql-Datei drfen Sie einen beliebigen Namen geben.
An dieser Stelle knnen Sie auch eine Pfad-Angabe hinterlegen, etwa
/media/backup/ownCloud.sql. Am besten geben Sie der .sql-Datei
einen automatischen Zeitstempel, dann wissen Sie sofort, von welchem Tag die Sicherung stammt:
mysqldump -u root -pPasswort ownCloud > ownCloud-$(date
+%Y-%m-%d).sql

Mit diesem Wissen knnen Sie nun eine Datensicherung automatisieren, zum Beispiel via Cron-Job.

Interessante Erweiterungen

Aktivieren Sie als Administrator die App External Storage Support,

knnen Sie Anwendern erlauben, auch andere externe Speicher in

CHIP SICHERHEIT

97

D AT E N S C H T Z E N

die ownCloud-Instanz einzubinden. Als Nutzer finden Sie diese Option unter Persnlich. Theoretisch sind Google Drive, Dropbox,
Amazon S3, WebDAV, OpenStack, FTP und SFTP mglich.
Im Test hat etwa das Einbinden von Strato HiDrive via SFTP sehr
gut funktioniert. Google Drive lsst sich ebenfalls sehr einfach einbinden, allerdings ist nur ein Zugriff auf die Dateien der obersten
Ebene mglich. Bei einem Klick auf einen Unterordner landen Sie
wieder im Hauptpfad der Dateien.
Fr das Einbinden von Dropbox mssten Sie zunchst eine Entwickler-App bei Dropbox registrieren, damit Sie die beiden Variablen App key und App secret erhalten.
hnlich verhlt es sich mit Amazon S3. Wollen Sie CIFS/SMBFreigaben einbinden, bentigen Sie auf dem Server das Paket smbclient. Da es sich um unseren eigenen Server handelt, knnen wir
das mit diesem Befehl erledigen:

Wecke den Pinguin in dir!

Know-how fr Admins mit praktischen Tipps & Tricks

sudo apt-get install smbclient

Die Bookmarks-App zum Verwalten und Hinterlegen von Lesezeichen ist ebenfalls sehr sinnvoll. Die Entwickler bieten an dieser Stelle eine Mglichkeit, ein Spter lesen in den Lesezeichen des Browsers zu hinterlegen. Besuchen Sie nun eine Webseite und klicken im
Browser auf Spter lesen, ffnet sich automatisch ein neues
Fenster. Das ist mit ownCloud verbunden, und Sie knnen das Lesezeichen nun direkt dort speichern lassen. Die Bookmarks selbst verwalten Sie mit Hilfe von Tags. Somit erleichtert Ihnen die Software
das Wiederfinden von Lesezeichen. Als Filter knnen Sie auch mehr
als ein Schlagwort angeben.

Fr nur 9,95 Euro!

Alle Titel, alle Abos, alle Infos.
www.chip-kiosk.de

Die Zukunft von ownCloud

Die ownCloud ist auf einem sehr guten Weg, und es ist recht attraktiv, Daten in einer eigens verwalteten Cloud zu hinterlegen. Allerdings wartet auch noch viel Arbeit auf die Entwickler. So gibt es noch
keine Mglichkeit, die hochgeladenen Dateien in ownCloud 5 verschlsseln zu lassen. Diese Funktion soll allerdings in naher Zukunft
implementiert sein.
Weiterhin ist es wnschenswert, die Apps in fertige und experimentelle Tools zu trennen. Denn es ist frustrierend, wenn man etwa
die Antiviren-App aktivieren mchte, der Vorgang jedoch mit einer
Fehlermeldung abbricht und man erst per Internet-Recherche herausfindet, dass diese App mit ownCloud 5 (noch) nicht kompatibel
ist. Eine solche App hat in einer Installation nichts verloren.
Beim Einbinden von externen Speichern wre es zudem
wahrscheinlich sinnvoller, separate Module fr die jeweiligen Protokolle anzubieten. Der Administrator htte auf diese Weise mehr
Kontrolle. Weiterhin lieen sich die schon sehr gut funktionierenden externen Speicher-Lsungen von den eher problembehafteten trennen.
Es gibt zudem Berichte, dass der Sync-Client von ownCloud unter
Umstnden Tausende von _conflict-Dateien erzeugen kann (bit.
ly/11diFY9). Die erscheinen dann, wenn die Synchronisation nicht
sicher ist egal ob sie die Datei auf dem Server berschreiben soll
oder nicht. In diesem Fall legt die Software zur Sicherheit automatisch nur eine Kopie an. Unter Umstnden kann es an dieser Stelle
helfen, wenn Sie die Versionierung deaktivieren.
Diese Beispiele zeigen, dass bei manchen Apps nichts anderes brig bleibt, als sie einfach auszuprobieren und damit zu experimentieren. Die per Standard aktivierten Module von ownCloud funktionieren aber im Groen und Ganzen recht gut.

98

Optimal vernetzt!
Spinnen Sie sich Ihr eigenes Heimnetz.

Fr nur 9,95 Euro!

Alle Titel, alle Abos, alle Infos.
www.chip-kiosk.de

CHIP SICHERHEIT

Erste Hilfe

Android Apps auf Herz und Nieren geprft jetzt im CHIP Kiosk sichern!

8,90 Euro!

Entdecker gesucht!
Auf zu neuen Ufern mit Windows 8 - jetzt im CHIP Kiosk sichern!

Jetzt fr nur

9,95 Euro!