Instant-Messaging-Programme (IM) sicher verwenden
Die meisten Menschen sind mit Instant-Messaging (IM)-Programmen vertraut – Anwendungen, mit denen Anwender in Echtzeit mit Online-Freunden und –Bekannten über das Internet kommunizieren und deren Verfügbarkeit sehen können. Instant Messaging bringt konkrete Vorteile, indem es den Informationsaustausch sowie die Nutzung zusätzlicher Dienste wie Video-Konferenzen und Voice-Chats vereinfacht. Mit diesen Vorteilen ist jedoch auch eine gewisse Verantwortung verbunden, und Anwender von IM-Programmen müssen die Folgen für Sicherheit und Datenschutz verstehen und entsprechend handeln, um online auch weiterhin sicher zu sein und persönliche Informationen vor neugierigen Augen zu verbergen. Die sichere Nutzung von Instant Messengern ist heute unser Hauptthema.
Einführung in das Thema Instant Messaging
Überblick
Instant Messaging wird seit ungefähr 10 Jahren von Durchschnittsanwendern benutzt. Mit wachsender Internetnutzung können auch IM-Dienste sowohl ihre Benutzerbasis als ihre Funktionalität immer weiter vergrößern. Die Beliebtheit von IM ist größtenteils darauf zurückzuführen, dass Instant Messages im Gegensatz zu herkömmlichen E-Mails innerhalb von wenigen Sekunden empfangen und beantwortet werden können, was die Kommunikationsgeschwindigkeit erheblich erhöht. Außerdem können Sie sehen, ob Ihre Freunde oder Kollegen online sind und ihnen dann Ihre eigene Verfügbarkeit oder Chat-Bereitschaft anzeigen lassen. Neben den Chat-Unterhaltungen können Sie über IM-Dienste auch Dateien oder Links versenden und bei einigen erweiterten Diensten einen VoIP-Chat oder eine Videositzung starten. Sie können über IM-Dienste sogar mit Bekannten ein Computerspiel spielen oder ein Desktop-Programm gemeinsam nutzen.
Voraussetzungen
Um mit Instant Messaging loszulegen, müssen Sie sich eigentlich nur ein Netzwerk aussuchen und die entsprechende Software installieren. Die zurzeit am häufigsten verwendeten IM-Netzwerke sind AIM (AOL Instant Messenger), ICQ, Windows Live Messenger, Yahoo! Messenger, Jabber und Skype. Auf diese Netzwerke können Sie mit der jeweiligen firmeneigenen Client-Software zugreifen, die als kostenloser Download zur Verfügung steht. Darüber hinaus gibt es noch unabhängige Clients von Drittanbietern wie z.B. Miranda oder Trillian, die mehrere Protokolle unter einem Dach handhaben können. So muss jemand, der gleichzeitig Mitglied in mehreren Netzwerken wie z.B. ICQ und AIM ist, keine zwei separaten Client-Programme installieren, sondern kann diese beiden Dienste innerhalb eines einzigen IM-Clientprogramms konfigurieren und nach Bedarf zwischen den Profilen hin- und herwechseln.
Wie IM funktioniert
Sie können sich mit der Software, die Sie von dem gewählten Netzwerk heruntergeladen haben, in Ihrem IM-Konto anmelden oder mit Ihrem Browser eine Sitzung starten, ohne irgendeine Software herunterzuladen. Der letztgenannte Ansatz wird immer verbreiteter, da immer mehr Programme von Desktop-Software zur Benutzung von webbasierten Diensten übergehen. Google Talk bietet zum Beispiel diese Option.
Es gibt zwei Möglichkeiten, um Nachrichten über ein IM-Netzwerk zu senden: durch Verwendung des IM-Servers als Vermittler für die Datenübertragung oder durch einen direkten Peer-to-Peer-Datenaustausch.
Im ersten Fall gehen die Informationen, die zwischen zwei Clients ausgetauscht werden, über den zentralen IM-Server, der die entsprechenden Nachrichten dann an den vorgesehenen Empfänger weiterleitet. Im zweiten Fall ermöglicht der Server die anfängliche Verbindung, indem er beiden Clients vorgibt, wie sie miteinander "sprechen" sollen (indem er die entsprechenden IP-Adressen und Kommunkationsport-Nummern bereitstellt). Von da an werden die Nachrichten direkt zwischen den beiden Clients ausgetauscht, ohne weitere Server-Beteiligung. Hinsichtlich der Ressourcenzuweisung ist die zweite Möglichkeit effizienter, da zum Datenaustausch keine Server-Verarbeitung und Bandbreiten-Nutzung nötig ist. Sie ist außerdem sicherer, da die Nachrichten über eine kürzere Strecke versandt werden, wenn die Clients in der Nähe sind, so dass eine geringere Gefährdung besteht. Wenn bei dieser Methode zwei Personen, die über ein Firmen- oder Privat-LAN verbunden sind, über ICQ miteinander kommunizieren möchten, verlassen ihre Nachrichten dieses Netzwerk nicht, so dass es für Außenstehende nahezu unmöglich ist, ihre Mitteilungen abzufangen.
Die am häufigsten verwendete Methode ist jedoch die Verbindung über die Client-Server-Client-Konfiguration, die von den meisten Internet-Protokollen verwendet wird. Die Übertragung großer Dateien oder ein Remote-Sharing von Desktop-Programmen über IM findet jedoch ausschließlich auf Peer-to-Peer-Basis statt, um die Serverbelastung möglichst gering zu halten.
Anmelde-Vorgang
Bei den meisten IM-Diensten melden sich die Mitglieder mit der Standardkombination aus Benutzernamen und Passwort an, die der IM-Client an den Berechtigungsserver übermittelt, wenn ein Benutzer sich mit dem Dienst verbinden möchte. Diese Informationen werden unverschlüsselt übertragen, was bedeutet, dass jemand, der es geschafft hat, in die Anmeldesitzung einzudringen, ganz einfach die Anmeldedaten abfangen und die Identitäten der Benutzer stehlen kann. Mehr Sicherheit bei der Anmeldung von Benutzern bietet die Option "Sichere Anmeldung", die bei einigen IM-Diensten wie z.B. ICQ verfügbar ist. Im Grunde bedeutet es, dass der IM-Client die Daten des Benutzers mit einem speziellen Hash-Code verschlüsselt, der bei Verbindungsherstellung vom Server ausgestellt wird. So wird die Möglichkeit verringert, dass Netzwerkpakete abgefangen und Anmeldedaten daraus extrahiert werden.
Bei erfolgreicher Überprüfung meldet das System den Benutzer an und die "Freunde"-Liste des Benutzers wird angezeigt, zusammen mit den entsprechenden Informationen wie dem aktuellen Online-Status der Personen auf der Liste.
IM-Sicherheitsgrundlagen
Ihr IM-Profil
Wenn Sie einen Benutzernamen (oder Nicknamen) aussuchen, versuchen Sie dabei Namen zu verwenden, die nicht auf Ihre Identität schließen lassen, also eher "ja_cool26" anstelle von "johnandrews26". Vermeiden Sie es auch, Ihre persönlichen Daten wie Ihre Privatadresse, Telefonnummer oder andere kritische Informationen in Ihrem Online-Profil zu veröffentlichen. Wenn Sie ein Passwort auswählen, verwenden Sie eines, das eine Länge von mindestens 6 Zeichen hat und aus einer Kombination besteht, die nicht schon für andere Konten benutzt wird (wählen Sie also nicht das gleiche Passwort wie für die E-Mail-Adresse, an die die Bestätigungs-E-Mail für ein verlorengegangenes Passwort geschickt würde).
Die meisten IM-Programme speichern Ihr Passwort in einem lokalen Cache-Speicher, um eine spätere automatische Anmeldung zu ermöglichen. Wir empfehlen Ihnen, Ihr Passwort bei jeder Anmeldung manuell einzugeben (Sie sollten Ihr Passwort also nicht speichern). Sollten Sie sich jedoch trotzdem für eine Speicherung entscheiden, sollten Sie sichergehen, dass Ihr Passwort auf dem Anmeldebildschirm oder in Ihrem lokalen Cache, der normalerweise in der Windows-Registrierungsdatenbank gespeichert ist, auf keinen Fall sichtbar ist. Fragen Sie bei Ihrem IM-Anbieter nach, wie zwischengespeicherte Passwörter lokal verwaltet werden.
Vermeiden Sie es nach Möglichkeit, IM-Dienste an öffentlichen Orten wie einer Bibliothek oder einem Internet-Café zu benutzen. Wenn es unbedingt sein muss, wählen Sie auf keinen Fall die Option, Passwörter bei der Anmeldung zu speichern.
Vergewissern Sie sich, dass Ihr Computersystem frei von Viren, Keyloggern und anderer Malware ist, da diese all Ihre Bemühungen zur Geheimhaltung Ihres Passworts zunichte machen können, indem sie Ihre Tastatureingaben direkt aufzeichnen und an Scammer weiterleiten. Sollte Ihr IM-Konto von Hijacking betroffen sein, benachrichtigen Sie Ihre Kontakte und versuchen Sie, Ihr Konto wiederherzustellen, indem Sie im speziellen Bereich zur Kontenwiederherstellung auf der Website des IM-Dienstes so viele Informationen wie möglich angeben.
Benutzung
Bei der Verwendung von IM sollten Sie auf jeden Fall daran denken, dass alle Informationen, die Sie versenden oder erhalten, in einfachem, leicht lesbaren Text übertragen werden, also sollten Sie vertrauliche oder private Informationen niemals über IM-Dienste mitteilen. Viele Leute unterschätzen das Risiko, bis es zu spät ist und ihre Konten einem Hijacker zum Opfer gefallen, Kreditkartendaten gestohlen oder vertrauliche Informationen veröffentlicht oder missbraucht wurden.
Ein Hacker oder ein unethischer Internetanbieter kann IM-Sitzungen ganz leicht belauschen, Unterhaltungen aufzeichnen und sie zu seinem Gewinn verkaufen oder nur so zum Spaß in öffentlichen Foren veröffentlichen. Diese Art des Eindringens ist dadurch möglich, dass Hacker durch die Verwendung ausgeklügelter "Schnüffel"-Software, die Netzwerkverkehr abfängt, oder durch eine Schwachstelle im TCP/IP-Protokoll einen Man-in-the-Middle-Angriff durchführen können und sich ohne Wissen der anderen Partei entweder als Sender oder als Empfänger der Informationen ausgeben können.
Diese Einschränkungen können Sie teilweise umgehen, indem Sie zusätzliche Plug-Ins installieren, die den IM-Datenverkehr mit PGP-Codes verschlüsseln können. Miranda, ein kostenloses, protokollübergreifendes IM-Programm, kann optional die Datenverschlüsselung für vertrauliche Kommunikationen ermöglichen. Es wird davon ausgegangen, dass die Planer der Terroristenangriffe vom 11. September beim Instant Messaging Verschlüsselungstechniken benutzt haben, um Informationen über die bevorstehenden Angriffe auszutauschen, ohne dass die CIA ihre Nachrichten entziffern konnte.
Wie bei allen internetfähigen Programmen können Bugs und Schwachstellen die Systemsicherheit gefährden. Achten Sie also darauf, dass Sie immer die neuesten Aktualisierungen und Patches für Windows und Ihre IM-Clientsoftware installieren. IM-Würmer nutzen Sicherheitslücken in IM-Software aus und verbreiten sich rasend schnell, indem sie Kopien von sich selbst an alle Personen auf der Kontaktliste des Opfers versenden. Eine andere Faustregel ist es, ausführbare Dateien, die Sie über IM-Dienste erhalten, niemals herunterzuladen oder zu öffnen und auch alle anderen Dateien möglichst mit einem aktualisierten Antiviren-Programm zu überprüfen. Klicken Sie niemals auf einen Link in einer IM-Nachricht, besonders dann nicht, wenn er von einer unbekannten Quelle stammt. Es ist darüber hinaus ratsam, auch Nachrichten von Ihren Freunden als potenziell gefährlich zu behandeln, da diese auch möglicherweise von gehackten oder auf andere Weise gefährdeten Konten abgeschickt wurden. Internet-Links können auf infizierte Speicherorte verweisen, und Sie können ohne Ihr Wissen Ihren Computer infizieren, wenn Sie darauf klicken. Da Datei-Downloads normalerweise auf Peer-to-Peer-Basis durchgeführt werden, wird der anderen Partei Ihre IP-Adresse bekanntgegeben, was ein Remote-Eindringen ermöglichen könnte, wenn Ihr Netzwerk nicht durch eine Firewall geschützt ist. Ältere Programme wie z.B. ICQ 2003 veröffentlichen Ihre externe IP-Adresse unter Umständen standardmäßig; denken Sie also daran, Ihre IM-Client-Software auf die neueste Version zu aktualisieren.
Viele IM-Programme speichern Ihre Unterhaltungen zur späteren Ansicht lokal ab. Diese Option können Sie in den Konfigurationseinstellungen des IM-Programms jedoch deaktivieren.
SpIM (Spam über IM) ist ein weiteres Ärgernis. Diese Nachrichten können auf alles Mögliche abzielen, etwa darauf, Sie zum Kauf eines bestimmten Artikels zu bewegen bis hin zum Versuch, Ihren PC durch Drive-By-Downloads zu infizieren. Viele IM-Clients haben eine Spamschutz-Funktion, die Sie vielleicht ganz brauchbar finden. Die angemessenste Reaktion auf Spam ist es jedoch, überhaupt nicht zu reagieren oder zu antworten – allein durch Ihr Antworten teilen Sie sonst dem Absender (menschlich oder Roboter) mit, dass unter dieser Adresse ein aktives E-Mail-Konto existiert. Einige Programme bieten die Möglichkeit eines Challenge-Response-Systems, das die Nachricht eines unbekannten Absenders nur dann an Sie weiterleitet, wenn der Absender eine einfache Frage beantwortet. So wird sichergestellt, dass es sich beim Absender nicht um einen Spam-Roboter handelt.
Alle Anfragen, einen neuen Benutzer zu autorisieren, sollten mit Vorsicht behandelt werden und Sie sollten die Identität des anfragenden Benutzers überprüfen, bevor Sie ihn/sie autorisieren und zu Ihrer Kontaktliste hinzufügen. Fälle von Stalking und Nachstellungen müssen den zuständigen Behörden gemeldet werden. Antworten Sie nicht auf Kettenbriefe und andere Aufforderungen und Bitten von Unbekannten.
Schlussfolgerung
Bei IM handelt es sich um eine sehr effiziente und benutzerfreundliche Kommunikationsmöglichkeit, da die Nachrichten den Empfänger sehr schnell erreichen. Man sollte jedoch bei der Verwendung von IM einige Regeln befolgen - senden Sie niemals kritische Informationen, wenn keine Verschlüsselung verfügbar ist (standardmäßig werden Ihre Nachrichten unverschlüsselt gesendet), führen Sie nie ausführbare Dateien von unbekannten oder zweifelhaften Quellen aus, setzen Sie Ihr Antiviren-Programm und Ihre Firewall zum Schutz gegen sich verbreitende Bedrohungen und Netzwerk-Eindringlinge ein und behandeln Sie die Links, die Ihre Kontakte Ihnen senden, immer als potenziell schädlich.
|
