Schlagwort-Archiv: Internet

20 Dinge, die ich über das Web gelernt habe – Part 17

Online-Identitäts-Überprüfung
oder: Dr. Jekyll und Mr. Hyde

In der realen Welt können Sie die Leute sehen, an die Sie Informationen weitergeben. Sie sprechen mit ihnen von Angesicht zu Angesicht und treffen sich mit ihnen an vertrauten Orten, beispielsweise in einer Bankfiliale. So können Sie entscheiden, ob Sie ihnen vertrauen oder nicht.

Online kann es jedoch schwierig sein, die Menschen hinter einer Website zu finden. Die optischen Eindrücke, auf die wir uns sonst verlassen, können gefälscht werden. Eine gefälschte Webseite kann zum Beispiel das Logo und das Design der Website Ihrer Bank kopieren. Das ist fast so, als würde jemand eine gefälschte Filiale in Ihrer Nähe aufmachen. Glücklicherweise gibt es Hilfsmittel, mit denen Sie feststellen können, ob eine Website echt ist oder nicht.

Einige Websites verfügen über ein sogenanntes EV-SSL-Zertifikat (Extended-Validation-Zertifikat, auf Deutsch auch “Zertifikat mit erweiterter Überprüfung”), über das Sie den Namen des Betreibers der Website feststellen können. Dieses Zertifikat stellt die nötigen Informationen zur Verfügung, damit Sie sichergehen können, dass Sie Ihre Informationen nicht an eine gefälschte Website übermitteln.

Schauen wir uns ein Beispiel an, wie das im Browser aussieht: Auf der Website einer Bank, die die erweiterte Überprüfung erfolgreich durchlaufen und das Zertifikat erhalten hat, wird der Name der Bank in einem grünen Feld zwischen dem Schloss-Symbol und der Webadresse in der Adressleiste angezeigt:

Beispiel für die Kennzeichnung des EV-SSL-Zertifikats in Google Chrome

In den meisten Browsern können Sie die Kennzeichnung finden, wenn Sie im grünen Abschnitt der Browser-Adressleiste nach dem Namen des Unternehmens Ausschau halten. Sie können auch auf die Kennzeichnung klicken, um sich die Sicherheitsinformationen der Website und das digitale Zertifikat anzusehen. Für den Erhalt eines EV-SSL-Zertifikats müssen Website-Inhaber eine Reihe von Überprüfungen durchlaufen, mit denen ihre rechtliche Identität und Befugnis festgestellt wird. Im vorhergehenden Beispiel bestätigt die EV-SSL-Kennzeichnung auf bankofamerica.com, dass die Website tatsächlich von der Bank of America ist. Sie können sich diese Zertifizierung als etwas vorstellen, das den Domainnamen der Webadresse an eine reale Identität bindet.

Es ist nur dann ratsam, sensible Informationen über eine Website zu senden, wenn Sie dem Unternehmen vertrauen, das hinter der Website steht. Halten Sie also das nächste Mal, wenn Sie solche Informationen auf einer Website übermitteln, kurz nach den Sicherheitsinformationen für die Website Ausschau. Sie werden froh sein, dass Sie es getan haben.

Textquelle: http://www.20thingsilearned.com/de-DE/home
Bildquelle: isignstock.com / 20thingsilearned.com

20 Dinge, die ich über das Web gelernt habe – Part 16

IP-Adressen und DNS
oder: Das Phantom im Telefon

Fragen Sie sich manchmal, wie Ihr Browser die richtige Webseite findet, wenn Sie eine URL in die Adressleiste eingeben? Jede URL (z. B. “www.google.com”) hat ihre eigene numerische Internetprotokoll-Adresse, die IP-Adresse. Eine IP-Adresse sieht zum Beispiel so aus: 74.125.19.147.

Die IP-Adresse ist eine Folge von Zahlen. Sie verrät uns, wo sich ein bestimmtes Gerät im Netzwerk des Internets befindet, beispielsweise der google.com-Server oder Ihr Computer. Das ist ähnlich wie bei Mamas Telefonnummer: Eine Telefonnummer zeigt der Vermittlung, an welches Haus ein Anruf weitergeleitet werden muss, damit er Ihre Mutter erreicht. Eine IP-Adresse zeigt Ihrem Computer, mit welchem anderen Gerät im Internet er kommunizieren und Daten austauschen soll.

Ihr Browser kennt nicht automatisch alle IP-Adressen der 35 Milliarden (oder sogar mehr) Geräte auf der Erde, die an das Internet angeschlossen sind. Er muss sich die Geräte mithilfe des sogenannten Domain-Name-Systems (DNS) heraussuchen. Das DNS ist sozusagen das Telefonbuch des Internets: Während ein Telefonbuch Namen wie “Pizzeria Alberto” in die richtige Telefonnummer übersetzt, übersetzt das DNS eine URL oder Webadresse (z. B. “www.google.com”) in die richtige IP-Adresse (z. B. “74.125.19.147″), damit Sie die gewünschten Informationen erhalten (in diesem Fall die Google-Startseite).

Wenn Sie also “google.com” in Ihren Browser eingeben, sucht er die IP-Adresse von google.com über ein DNS heraus und stellt eine Verbindung her, wartet auf eine Antwort zur Bestätigung der Verbindung und sendet anschließend Ihre Anfrage für die Website von google.com an diese IP-Adresse. Der Google-Server unter dieser IP-Adresse sendet die angeforderte Webseite zurück an die IP-Adresse Ihres Computers, und schon sehen Sie die Seite in Ihrem Browser.

In vielerlei Hinsicht funktioniert das Laden einer Webseite im Browser ähnlich wie ein Telefonanruf. Wenn Sie jemanden anrufen möchten, suchen Sie sich wahrscheinlich zunächst die Nummer heraus, wählen, warten darauf, dass Ihr Gesprächspartner abhebt, sagen “Hallo” und warten auf eine Antwort, bevor Sie das Gespräch beginnen. Manchmal müssen Sie die Nummer erneut wählen, wenn Probleme bei der Verbindung auftreten. Im Web geschieht dieser ganze Vorgang im Bruchteil einer Sekunde. Alles, was Sie sehen, ist, dass Sie “www.google.com” in die Adressleiste Ihres Browsers eingeben und die Startseite erscheint.

Im nächsten Kapitel befassen wir uns damit, wie wir die Identität einer Website, die wir im Browser anfordern und laden, mithilfe des EV-SSL-Zertifikats überprüfen können.

Textquelle: http://www.20thingsilearned.com/de-DE/home
Bildquelle: isignstock.com

20 Dinge, die ich über das Web gelernt habe – Part 15

Sicherheit durch Webadressen
oder: Mein Name ist URL

Ein Uniform Resource Locator, besser bekannt als URL, klingt vielleicht kompliziert. Aber keine Angst: Es handelt sich dabei lediglich um die Webadresse, die man in den Browser eingibt, um zu einer bestimmten Webseite oder Webanwendung zu gelangen.

Wenn Sie eine URL eingeben, wird die Website irgendwo auf der Welt von ihrem Hostingserver heruntergeladen, durch Kilometer von Kabeln zu Ihrer lokalen Internetverbindung transportiert und schließlich im Browser auf Ihrem Computer dargestellt.

Hier sehen Sie einige Beispiele für URLs:

Damit gelangen Sie auf die Nachrichten-Website der British Broadcasting Corporation. –> “.co.uk” gibt hierbei eine Registrierung in Großbritannien an.

Damit gelangen Sie zur Website des “Museo Nacional del Prado”, dem Kunstmuseum in Madrid. –> “.es” gibt eine Registrierung in Spanien an.

Damit gelangen Sie zur Website der Bank of America. –>”https://” gibt eine verschlüsselte Verbindung an.

URLs werden oft als selbstverständlich hingenommen, da wir sie jeden Tag in den Browser eingeben. Wenn man jedoch die Teile einer URL versteht, kann dies vor Phishing und anderen Angriffen auf die Sicherheit schützen.

Sehen wir uns im folgenden Beispiel an, was sich in einer URL befindet:

http://www.google.com/maps –> Schema – Hostname – Top-Level-Domain – Pfad

Der erste Teil der URL wird Schema genannt. Im oberen Beispiel bildet HTTP, kurz für Hypertext Transfer Protocol, das Schema.

Das darauf folgende “www.google.com” ist der Name des Hosts, auf dem die Website gespeichert ist (“Host” bedeutet wörtlich “Gastgeber”). Wenn Einzelpersonen oder Unternehmen eine neue Website erstellen, registrieren sie diesen Hostnamen für sich. Nur sie dürfen ihn verwenden. Wir werden gleich sehen, wie wichtig das ist.

Eine URL kann auch einen zusätzlichen Pfad nach dem Hostnamen aufweisen, der Sie auf eine bestimmte Seite auf dem Host weiterleitet. Das ist etwa so, als würden Sie in einem Buch direkt eine bestimmte Seite oder ein bestimmtes Kapitel aufschlagen. Bei unserem Beispiel weist der Pfad den Hostserver an, dass die Karten-Webanwendung auf www.google.com aufrufen werden soll, also Google Maps. Manchmal steht dieser Pfad als Subdomain vor dem Hostnamen, wie in “maps.google.com” für Google Maps.

Und jetzt zur Sicherheit. Eine Möglichkeit, festzustellen, ob Sie gerade zu einer gefälschten Website unterwegs sind, ist, sich die URL in der Adressleiste Ihres Browsers etwas genauer anzusehen. Achten Sie besonders auf den Hostnamen. Wie Sie sich vielleicht erinnern, darf nur der legitime Inhaber diesen Hostnamen verwenden. Nehmen wir an, Sie klicken auf einen Link und erwarten, dass Sie auf die Website der Bank of America weitergeleitet werden:

LEGITIM:

  • www.bankofamerica.com ist eine legitime URL, da der Hostname korrekt ist.
  • www.bankofamerica.com/smallbusiness ist auch eine legitime URL, da der Hostname ebenfalls korrekt ist. Der Pfad der URL verweist auf eine untergeordnete Seite für kleine Unternehmen.

VERDÄCHTIG:

  • bankofamerica.xyz.com ist keine Website der Bank of America. Vielmehr ist “bankofamerica” eine Subdomain der Website xyz.com.
  • www.xyz.com/bankofamerica ist auch keine Website der Bank of America. “bankofamerica” ist hier ein Pfad auf www.xyz.com.

Wenn Sie sich gerade auf der Website einer Bank befinden oder eine Online-Transaktion mit sensiblen Informationen wie Ihrem Passwort oder Ihrer Kontonummer durchführen, dann werfen Sie zuerst einen Blick auf die Adressleiste! Vergewissern Sie sich, dass das Schema https:// ist und sich ein Schlosssymbol in der Adressleiste Ihres Browsers befindet. “https://” gibt an, dass die Daten zwischen Server und Browser über eine sichere Verbindung transportiert werden. Über eine sichere Verbindung sollte die URL der Bank of America folgendermaßen aussehen: https://www.bankofamerica.com.

Eine sichere Verbindung gewährleistet, dass niemand die von Ihnen gesendeten sensiblen Informationen auslesen oder manipulieren kann. “https://” ist also ein gutes Zeichen. Vergessen Sie aber nicht, dass es dennoch wichtig ist, Hostname und URL zu überprüfen, damit Sie sicher sein können, dass Sie es mit der legitimen Website zu tun haben. Es wäre doch echte Ironie, eine sichere Verbindung zu einer Schwindel-Website aufzubauen!

Im nächsten Kapitel sehen wir uns an, wie eine in die Adressleiste des Browsers getippte URL Sie zu der richtigen Webseite bringt.

Textquelle: http://www.20thingsilearned.com/de-DE/home
Bildquelle: isignstock.com /20thingsilearned.com

20 Dinge, die ich über das Web gelernt habe – Part 14

So schützen moderne Browser vor Malware und Phishing oder: Vorsicht Falle!

Ein aktueller Browser schützt Sie vor Phishing- und Malware-Angriffen, während Sie im Web surfen. Das geschieht über die Kontrolle von drei Risikofaktoren:

1. Häufigkeit des Kontakts mit Angreifern

Der Kontakt zu Angreifern kann über eine bösartige gefälschte Website oder sogar über eine vertrauenswürdige Website erfolgen, wenn diese gehackt wurde. Die meisten modernen Browser prüfen Webseiten vor dem Besuch und warnen Sie, falls der Verdacht besteht, dass eine Website bösartig sein könnte. So können Sie eine fundierte Entscheidung darüber treffen, ob Sie die Seite wirklich aufrufen möchten. Google Chrome verwendet zum Beispiel die “Safe Browsing”-Technologie (Safe Browsing heißt so viel wie “sicher surfen”), die auch in vielen anderen modernen Browsern zum Einsatz kommt.

Wenn Sie im Web unterwegs sind, wird jede Seite schnell mit einer Liste von Websites abgeglichen, die im Verdacht stehen, Phishing- oder Malware-Websites zu sein. Damit Ihre Privatsphäre beim Surfen geschützt bleibt, wird diese Liste lokal auf Ihrem Computer gespeichert und aktualisiert. Wird eine Übereinstimmung mit der lokalen Liste gefunden, fordert Ihr Browser weitere Informationen von Google an. Diese Anfrage erfolgt verschlüsselt und wird vom Browser nicht in reiner Textform gesendet. Falls die Übereinstimmung bestätigt wird, zeigt der Chrome-Browser eine rote Warnseite an, auf der Sie darüber informiert werden, dass die gewünschte Seite möglicherweise gefährlich ist.

2. Angreifbarkeit des Browsers

Alte Browser, die nicht aktualisiert werden, haben mit hoher Wahrscheinlichkeit Sicherheitslücken, die von Angreifern ausgenutzt werden können. Jegliche veraltete Software, unabhängig davon, ob Betriebssystem, Browser oder Plug-ins, haben dieses Problem. Daher ist es sehr wichtig, dass Sie immer die neuste Version eines Browsers verwenden und Sicherheitsupdates für Ihr Betriebssystem und Ihre Plug-ins unverzüglich installieren, sodass keine Sicherheitslücken offen bleiben. Einige Browser suchen automatisch nach Updates und installieren diese nach Bestätigung durch den Nutzer.

Google Chrome und ein paar andere Browser gehen sogar noch einen Schritt weiter: Sie sind mit automatischen Updates programmiert. Der Browser führt regelmäßig eine Prüfung auf Updates durch und aktualisiert den Browser automatisch auf die neueste Version. Sie merken davon gar nichts und können den Browser wie gewohnt nutzen. Darüber hinaus sind der Adobe Flash Player und ein PDF-Viewer in Google Chrome integriert, sodass beide dieser beliebten Plug-ins automatisch aktualisiert werden.

3. Ausmaß des Schadens beim Ausnutzen von Sicherheitslücken durch Angreifer

Einige moderne Browser wie Google Chrome und Internet Explorer sind mit einer zusätzlichen Schutzfunktion ausgestattet, “Sandbox” oder “Sandkasten” genannt. Genau wie ein echter Sandkasten hat die Browser-Sandbox Seitenwände, die verhindern, dass der Sand sich ausbreitet. Die Sandbox ist eine abgeschlossene Umgebung, die verhindert, dass Malware und andere Sicherheitsrisiken Ihren Computer infizieren. Wenn Sie zum Beispiel eine bösartige Webseite öffnen, verhindert die Sandbox, dass schädlicher Code den Browser verlässt und sich auf der Festplatte installiert. Der Code kann die Daten auf Ihrem Computer somit nicht lesen, verändern und beschädigen.

Zusammenfassend lässt sich sagen, dass ein moderner Browser Sie gegen Bedrohungen aus dem Web schützt, indem er die Websites, die Sie besuchen, auf Malware und Phishing überprüft, Sie informiert oder automatisch eine Aktualisierung durchführt, wenn eine neuere, sicherere Version Ihres Browsers verfügbar ist, und außerdem die Sandbox-Technologie einsetzt, damit sich kein schädlicher Code auf Ihrem Computer ausbreiten kann.

In den nächsten Kapiteln beschäftigen wir uns damit, wie ein Grundverständnis von Webadressen Ihnen dabei helfen kann, fundierte Entscheidungen im Hinblick auf Websites zu treffen…

Textquelle: http://www.20thingsilearned.com/de-DE/home
Bildquelle: isignstock.com

20 Dinge, die ich über das Web gelernt habe – Part 13

Malware, Phishing und Sicherheitsrisiken
oder: Der Wolf im Schafspelz

Wenn Sie an einem Bankautomat in einer belebten Straße Geld abheben, schauen Sie sich doch bestimmt auch vor der Eingabe der PIN-Nummer um, um sicherzugehen, dass Sie niemand beobachtet und Ihre PIN (oder Ihr Geld) stiehlt. Vielleicht überprüfen Sie sogar den Automaten daraufhin, ob er manipuliert ist. Wenn Sie im Web unterwegs sind und Online-Transaktionen durchführen, stellen Malware und Phishing zwei Sicherheitsrisiken dar. Hinter diesen Angriffen stehen Einzelpersonen oder Organisationen, die Ihre persönlichen Daten stehlen und/oder die Kontrolle über Ihren Computer erlangen möchten.

Was genau sind Phishing- und Malware-Angriffe? Beim Phishing geht es darum, dass sich jemand als eine andere Person ausgibt – oft mithilfe einer gefälschten Website – und so versucht, an Ihre persönlichen Daten zu kommen. Der Begriff “Phishing”, eine leichte Abwandlung des englischen Worts für “fischen”, ergibt sich daraus, dass die Täter einen elektronischen Köder auswerfen und darauf warten, dass jemand anbeißt. Ein typischer Phishing-Betrugsversuch sieht zum Beispiel so aus, dass der Angreifer eine E-Mail an Sie sendet, die so aussieht, als stamme sie von einer Bank oder einem anderen vertrauten Unternehmen. Im Betreff könnte beispielsweise stehen “Bitte aktualisieren Sie Ihre Daten bei Ihrer Bank!”. Die E-Mail enthält Links, die so aussehen, als leiteten sie Sie auf die Website Ihrer Bank weiter, tatsächlich werden Sie aber auf eine gefälschte Website geführt. Dort werden Sie aufgefordert, sich anzumelden. Mit der Anmeldung geben Sie dann unbeabsichtigt Ihre Kontonummer, Kreditkartennummern, Passwörter oder andere sensible Informationen an die Betrüger weiter.

Malware hingegen ist bösartige Software auf Ihrem Computer, von der Sie nichts wissen. So werden Sie beispielsweise dazu aufgefordert, Antiviren-Software zu installieren, wobei diese Software dann selbst ein Virus ist. Oder Sie besuchen eine Seite, die Software auf Ihrem Computer installiert, ohne Sie zu fragen. Der Zweck dieser Software besteht darin, Kreditkartennummern und Passwörter von Ihrem Computer zu stehlen und in einigen Fällen sogar, ihn zu beschädigen. Ist diese Malware einmal auf Ihrem Computer installiert, ist es nicht nur sehr schwierig, sie zu entfernen: Sie hat freien Zugriff auf alle Daten und Dateien, die sie findet, und versendet diese Informationen. Dabei richtet sie oft großen Schaden auf dem Computer an.

Ein aktueller, moderner Webbrowser ist ein erster Schritt zum Schutz vor Phishing- und Malware-Angriffen. Die meisten modernen Browser können unter anderem Webseiten analysieren und Anzeichen von versteckter Malware erkennen. Sie machen den Nutzer bei einem Fund darauf aufmerksam. Allerdings muss ein Angreifer nicht unbedingt technische Zauberei betreiben, um sich Ihres Computers zu bemächtigen. Oft reichen schon ein paar hinterlistige Tricks, die Sie dazu verleiten, eine falsche Entscheidung zu treffen.

In den nächsten Kapiteln sehen wir uns an, wie Sie fundiertere Entscheidungen treffen und sich so online schützen können – und wie Browser und andere Webtechnologien Ihnen dabei helfen können.

Textquelle: http://www.20thingsilearned.com/de-DE/home
Bildquelle: isignstock.com