dyingeyes weblog: das persönliche Weblog von Boris Stumpf aus Frankfurt am Main

Um sich vor illegitimen Übergriffen auf Daten des eigenen Computers zu schützen, kann es nicht ganz verkehrt sein, in Zukunft – neben der üblichen Vorsicht gegenüber den einschlägig bekannten verdächtigen E-Mails (die angeblich von Banken, Sparkassen oder Anwälten stammen) und die mit oder ohne Anhänge daherkommen – besondere Vorsicht walten zu lassen bei E-Mails, die

• von Bundes-, Landes- und Kommunalbehörden zu kommen scheinen, und
• verdächtige URLs enthalten (Gefahr der Umleitung auf möglicherweise unsichere Webseiten), und/oder
• eingebette Skripte enthalten (in HTML-Mails), und/oder
• Anhänge (Attachments) enthalten.

Ich empfehle in allen solchen Fällen eine genaue Prüfung, ob die betreffende E-Mail

• überhaupt vom angeblichen Absender stammt ¹, und/oder
• ob die betreffende Behörde überhaupt Kenntnis der E-Mailadresse haben dürfte, an die die Nachricht adressiert ist ²

¹ Es bietet sich z.B. die Möglichkeit an, die betreffende E-Mail (gegebenenfalls mit Anhang) an die angeblich absendende Behörde (an die im Von:-Feld angegebene Adresse) zurückzuschicken mit der Bitte um Bestätigung.

² Diese Prüfung empfiehlt sich bekanntermaßen als erster Augenschein bei möglicherweise Phishing-verdächtigen E-Mails von Bankinstituten.

Ich empfehle weiterhin, Anhänge bei unaufgefordert eingegangenen oder nicht im Vorfeld persönlich abgesprochenen E-Mails grundsätzlich nicht zu öffnen. Im Sinne der Sicherheit der eigenen Daten und Dokumente sollte der aufmerksame Computernutzer in solchen Fällen niemandem einen Vertrauensvorschuss einräumen, Behörden ausdrücklich eingeschlossen.

Sofern die Möglichkeit besteht, dass es sich bei einer vermutlich gefälschten E-Mail einer Behörden um den Versuch des Betruges, des versuchten Datendiebstahls oder mindestens der arglistigen Täuschung handelt, halte ich es für eine durchaus gute Idee, die betreffende E-Mail zum Zwecke der Beweissicherung im Zuge einer möglichen Strafanzeige auf einem externen Datenträger zu sichern.

Ich halte es darüber hinaus im Blick auf die Sicherheit der eigenen Daten für angemessen, abwehrende Bekundungen wie z.B. solchen des Präsidenten des Bundeskriminalamtes, die Debatte über die Online-Durchsuchungen privater Computer sei eine »Angstmacher-Diskussion, die zu Verunsicherung führen soll«, und dass es »schlicht und einfach um fünf bis maximal zehn solcher Maßnahmen im Jahr« gehe, nicht zum Anlass zu nehmen, die oben empfohlene erhöhte Aufmerksamkeit und die entsprechenden Vorsichtsmaßnahmen zu vernachlässigen.

Wie sagt eine uralte Weisheit:
Vertrauen ist gut, Kontrolle (und gehobene Vorsicht) ist besser.

Skype ist zur Zeit ja wohl heftig im Gerede? Offenbar liest eine zugekaufte Programmkomponente (Extras Manager) BIOS-Daten des User-PCs »aus zur eindeutigen Identifizierung von Rechnern, um per DRM die Einhaltung von Lizenzabkommen für die einzelnen Plug-ins zu kontrollieren.«

Offensichtlich geworden ist diese ›Maßnahme‹ nicht durch aufklärende Informationspolitik des Herstellers im Vorfeld, sondern dadurch, dass ein aufmerksamer und kenntnisreicher Anwender einer Fehlermeldung von Skype unter 64-Bit-Windowsversionen auf den Grund gegangen ist, wie Heise zuvor berichtete.

Inzwischen hat sich auch Skype zum Thema geäußert.

Schwarze Kistchen

Ganz offenkundig wird an diesem Beispiel neuerlich das Problem proprietärer und nicht-quelloffener Software:

Der Anwender muss sich auf die Informationspolitik und die Vertrauenswürdigkeit eines Softwareherstellers verlassen, ohne im Zweifelsfall diese Vertrauenswürdigkeit prüfen zu können. Es ist schon eine ernste Frage, inwieweit wir uns bei der Nutzung kommerzieller Closed-Source-Betriebssysteme in die Informationen sammelnde Hand von Unternehmen (und im Zweifelsfall begehrlicher staatlicher Behörden) begeben, so dass wir uns bei zusätzlich installierten Anwendungen um so mehr überlegen sollten, was wir uns auf die Rechner holen.

Und es ist wirklich keine Frage, ob wir selbst in der Lage sind, quelloffene Software zu überprüfen. In der Regel wird solche Software von großen Anwender-Gemeinschaften in Foren begleitet und diskutiert und nicht zuletzt auf diese Weise für Offenheit gesorgt.

Wie dem auch sei, ein Diskussionsteilnehmer im Heise-Forum hat auf zwei quelloffene Alternativen zu Skype hingewiesen:

• Openwengo bzw. WengoPhone
• Gizmo Project

Ich kenne beide Anwendungen noch nicht, habe aber vor, sie mir bei Gelegenheit näher anzuschauen. Meine Frage wäre, ob jemand von euch geneigten Lesern mehr darüber weiß?