Temporäre Dateien löschen: CCleaner

Ein nützliches Tool, das alle Arten temporärer Dateien für Sie erledigt, ist CCleaner, den Sie bei den Downloads Shredder/Krypto finden. Es läuft auf allen Windows-Versionen ist weitgehend selbsterklärend:

• Analysieren: Prüft, was man löschen könnte – auf Basis der Optionen, die Sie in den Registern Windows und Anwendungen aktiviert haben. Prima als erster Schritt, denn Sie sehen, was gelöscht würde.
• Starte CCleaner: Damit löscht das Tool dann los.

CCleaner

• Mein Ratschlag: von den Funktionen im Bereich Registry sollte man, wenn überhaupt, nur vorsichtig Gebrauch machen.

Temporäre Dateien per Script löschen lassen

Sie können sich auch ein Script schreiben, dass den Job für Sie erledigt.

• Erzeugen Sie mit dem Editor eine Datei deltemp.cmd mit diesem Inhalt:

del "C:\WINDOWS\Temp\*.*" /s/q
del "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\*.*" /s/q
pause

• …wobei <Benutzername> IHR Benutzername ist, also John oder Doe.
• Ein Doppelklick auf das Script reicht dann, temporären Ramsch zu löschen.

Dateien löschen, die sich nicht löschen lassen

Wenn sich eine Datei nicht löschen läßt, probieren Sie es mit KillBox – dieses Tool kann Dateien löschen, die sich nicht löschen lassen.

Sichere Verbindung im Browser erkennen

Eine normale Verbindung im Webbrowser verwendet das Übertragungsprotokoll HTTP (Hyper Text Transfer Protokoll), was nichts anderes ist als eine Reihe von Regeln, an die sich Webbrowser und Webserver halten, damit wir User am Ende schön surfen können. Sie sehen das daran, dass Ihr Browser meist Adressen beginnend mit http:// anzeigt.
ABER: Die Übertragung der Daten erfolgt bei HTTP im Klartext. Sprich: Wenn Sie auf einer Website eine Mail schreiben, Ihre Kreditkartennummer eintippen oder Name und Passwort für einen Dienst eingeben und abschließend auf Senden oder Anmelden klicken*, dann kann prinzipiell jeder mitlesen.

Daher hat uns der Herrgott die Verschlüsselung geschenkt. Eine verschlüsselte und daher sichere Verbindung im Browser verwendet das Übertragungsprotokoll HTTPS (Hyper Text Transfer Protokoll Secure). Sie erkennen Websites, die sicheres HTTP verwenden daran, dass die Adresse im Browser gerade mit https: beginnt und der Browser irgendwo ein Schlosssymbol anzeigt.

Wann immer Sie

• Online-Banking machen
• Online etwas einkaufen
• persönliche Daten Ihrer Identität preisgeben
• Mails schreiben

sollten Sie dafür sorgen, dass Ihr Browser https verwendet. Sonst kann jeder mitlesen! Jeder heißt: Im Internet alle Stationen von Ihrem Provider bis zum Provider des Webangebots, das Sie nutzen. In einer Firma der Admin und seine Supportmitarbeiter – theoretisch sogar neugierige Kollegen.

* Die Website, die Sie sehen, ist nicht automatisch die, an die Daten übertragen werden. Daher kann es durchaus sein, dass es Login-Seiten gibt, die kein https benutzen – denn erst die Website, die sie aufrufen, um im Zuge des Aufrufs die Login-Daten zu übertragen, verwendet https. Das ist im Prinzip  okay. Ich rate dennoch dazu, auf Login-Seiten einfach mal zu versuchen, ein s hinters http zu klemmen, um ein sichere https-Verbindung zu erzwingen. Und auch Bookmarks und Lesezeichen entsprechend anzupassen.

Wie man merkt, dass https aktiviert ist

Im folgenden vier Beispiele, wie https in Ihrem Browser aussieht. Im Hintergrund sehen Sie jeweils die Seite im Browser ohne https, im Vordergrund jeweils ein zweites Browserfenster auf der Seite mit https.

Zunächst der Microsoft Internet Explorer 8 auf Vista, zum Beispiel bei der Deutschen Bank, einem Unternehmen, dass durchaus auch mal Spionage betreibt:

Internet Explorer 8.x: Farbig hinterlegte Adresszeile, Schlosssymbol, Name des Anbieters.

Der Mozilla Firefox macht es, finde ich, auf angenehme Weise auffällig:

Firefox 3.x: Farbig hinterlegter Name des Anbieters links von der Adresszeile. Das Schloßsymbol (nicht im Bild) zeigt Firefox in der Statuszeile rechts unten.

Opera 10 hebt nur den Anbieternamen laut AV-Zertifkat hervor. Wenn es zu eng wird, also man das Browserfenster zu schmal gezogen hat, zeigt Opera auch mal nur ein Schloß; daher im Screenshot alle drei Varianten: Hinten ohne, in der Mitte mit vollem Namen, im Vordergrund nur mit Schloß.

Opera 10.x: farbig hinterlegtes Schloßsymbol samt Anbietername rechts von der Adresszeile. Wenn die zu eng wird, zeigt Opera auch mal nur ein Schloß.

Google Chrome:

Google Chrome: Farbig hinterlegte Adressezeile, Anbietername neben Schloß-Zeichen, htpps und Anbietername in der selben Farbe.

“Bin ich auf einer https-Seite automatisch sicher?”

Leider nein.
Passwort und Nutzername, dass Sie eingeben, kommen dank https zwar nur auf der Gegenseite an und können auf dem Weg dazwischen eher nicht abgehört werden.
Doch was ist, wenn die Gegenseite eine Phishing-Website ist, die nur Daten Ihrer digitalen Identität stehlen will?

HTTPS sorgt theoretisch auch hier vor. Denn bei HTTPS geht es nicht nur darum, dass die Übertragung verschlüsselt ist. Es geht auch darum, sicherzustellen, dass die Website, die Sie besuchen, wirklich die Website ist, nach der sie aussieht. Anders gesagt: Jeder Kleinganove kann ein https-System aufsetzen und seine Website nach einer Bank aussehen lassen. Die Anzeige https:// zu Beginn der URL alleine sagt daher noch nichts.

Erst ein “Zertifikat” bestätigt bei HTTPS, dass die Bank wirklich die Bank ist bzw. es bestätigt einfach nur, wer der Betreiber der Seite ist.

Zertifikatsinfos können Sie sich selbst ansehen und dann entscheiden, ob Sie dem Seitenbetreiber trauen. Gehen Sie dazu auf die Seite der Bank, des Shops oder wo auch immer und sorgen Sie dafür, dass Sie eine https-Verbindung haben.

• Im Internet Exploer wählen Sie dazu Seite / Eigenschaften, klicken auf Zertifikate.
• Im Firefox ist es Extras / Seiteninformationen, Reiter Sicherheit, klicken auf Zertifikat anzeigen.
• In Opera drücken Sie [Alt]+[Enter].
• In Google Chrome klicken Sie mit der rechten Maustaste auf einen freien Bereich der Webseite und wählen Seiteninfo anzeigen.

• (Es geht auch per Webware: Am Ende des Textes finden Sie Links zu externen SSL-Checkern.)

Soweit, so umständlich. Denn: RC4 128 Bit? SHA1? MD5? Soll meine Oma, wenn sie mit ihrem neuen Notebook begeistert shoppen geht, in den Browser-Einstellungen rumklicken und die Seite suchen, wo das Zertifikat zu finden ist? Eben: Nein. Außerdem ist klassisches SSL knackbar – der CCC führte es 2008 vor (Original beim CCC, Artikel bei heise.de).

Aber die Lösung ist schon da, und zwar in Form der

Extended Validation Certificates

Weil der Umgang mit den alten Zertifikaten (1994 oder so erstmalig eingeführt) relativ kompliziert war, hat man etwas neues gemacht, sogenannte Extended Validation Certificates, kurz EV genannt.

• Die sind erstens sicherer (derzeit; bis sie halt jemand knackt).
• Zweitens sind sie deutlich einfacher für den Nutzer zu erkennen. In allen Screenshots oben sehen Sie jeweils vom Browser hervorgehoben den Namen des Inhabers des EV-Zertifikates.
  Hier nochmal als Detailshot:

Anzeige des EV-Zertifikatsinhabers bei https-Verbindung.

Alle neueren Browser unterstützen diese EVs und zeigen sie auch deutlich an. Daher nochmal der Rat: Verwenden Sie stets aktuelle Browser. Wer jetzt wirklich noch mit Windows 9x und Internet Explorer 4 unterwegs ist, ist selber schuld.

“Super: EVs sind nun also sicher?”

Leider nein, zumindest beim Online-Banking.

Nehmen wir den Idealfall: Ihr Browser surft bei einer Bank.

• Die Verbindung zwischen dem Browser und der Bank ist supersicher, check.
• Die Bank-Website gehört wirklich zur Bank, check.

Alles in bester Ordnung?
Nicht ganz. Denn sind Sie wirklich Sie?
Anders gefragt: Sind Sie die Person, die Ihren Browser untr Kontrolle hat?
Und hier lauert die hoffentlich letzte Lücke, nämlich Trojaner, die Ihren Browser (der hochsicher mit der Bank verbunden ist, aber eben nicht mit Ihnen) manipulieren und die im Hintergrund Ãœberweisungen für Sie vornehmen. Der ganz moderne Trojaner wartet, bis Sie Ihre Ãœberweisung vornehmen, und wenn Sie auf “Ãœberweisen” klicken, dann ersetzt er Ihre Eingaben durch seine eigenen, umgekehrt ersetzt er die Anzeige der Bank-Website durch Ihre Eingaben, damit Sie keinen Verdacht schöpfen. Danach geben Sie die iTAN ein und dankeschön – schon haben Sie den Kriminellen (oder Money-Mules) Geld überweisen – siehe Bankraub Online.

Keine Panik! Die Gefahr, dass Sie diesen Trojaner haben, ist derzeit noch nocht hoch.

Beachten Sie aber in jedem Fall

• Tipps für sicheres Online-Banking (aufwändig, aber sicher!)
• Plan zur Sicherheits-Vorsorge auf PCs
• Tipps für sichere Kennwörter

Info-Links:

• VeriSign SSL-Informations-Site www.verisign.de
  VeriSign ist einer von denen, die EV-Zertifikate ausstellen können.
• CAcert www.cacert.org
  Das CAcert ist sozusagen die Open-Antwort auf kommerzielle Zertifizierungsstellen wie VeriSign. Das Problem an einer Zertifizierung ist nämlich, dass Sie viel Geld kostet. Kann ich jährlich mehrere Hundert Euro dafür ausgeben? Nein. Aber eigentlich müsste ich das tun, denn nur dann können Sie scareware.de mit https besuchen, und nur dann könnten Sie sicher sein, dass ich kein Gauner bin und Ihnen nicht Tipps unterjuble, die Sie direkt zu Phishern führen. CAcert will das kostenlos machen. Die Browser-Macher finden das wohl aber noch nicht sicher genug, jedenfalls gilt ein CAcert-Zertifikat laut Wikipedia derzeit noch nichts.
• ServerSniff SSL-Check serversniff.de
  Fragt SSL-Infos bei einem Server ab, den Sie selber angeben können.
• Stiftung Warentest SSL-Check
  mit Erläuterungen
• heise.de SSL-Check
  ohne Erläuterung

Phishings erkennen und abwehren

Phishing ist eine Spezialform des Identitätsdiebstahls: Sie erhalten dabei E-Mails, die Sie unter Vorspiegelung falscher Tatsachen auf eine Website locken wollen. Zum Beispiel so eine:

Ziel des Phishens ist es, Ihnen eine wertvolle Kombination aus Zugangsname und Passwort oder weitere wichtige Daten zu entlocken, also sozusagen mit einem Link-Köder ihr Passwort zu fischen. Besonders interessant sind Daten, bei denen sich Geld abschöpfen lässt. Daher beziehen sich die meisten Phishing-Mails auf die Web von Shops, eBay oder auf Banken. Weil Mailkonten bei bekannten Mail-Anbietern wie Windows Live Hotmail, Google Mail, Yahoo! Mail, GMX, Web.de und so weiter sich dazu verwenden lassen, Zugang zu weiteren Konten und damit Identitäten zu erhalten, stehen auch diese immer öfter im Mittelpunkt des Interesses von Angreifern.

Die Phishing-Mail kommt normalerweise mit einem Link ins Haus. Etwa so:

Klickt ein Opfer darauf, erscheint eine täuschend echt aussehende Website, wie Sie auch auf eBay.de, auf Postbank.de oder ähnlichem zu sehen sein könnte. Den entscheidenen Fehler erkennt man nur, wenn man sich die URL sehr genau anschaut (hervorgehoben):

Wer hier Kontoname und Zugangsdaten eingibt, übergibt beide freiwillig an die kriminellen Phisher. Gibt ein Opfer aus versehen auch PINs und TANs ein, wie sie beim Online-Banking üblich sind, können die Gauner nur wenige Minuten nach dem Phishzug bereits Geld in nahezu beliebiger Höhe abräumen.

Phishing-Mails sehen stets offiziell aus und fordern Sie stets auf, sich auf eine Website zu begeben und dort Ihre Zugangsdaten einzugeben. Werden Sie also misstrauisch, sobald das der Fall ist. Die Maske der Phisher ist auch durchschaubar, wenn die Mail maschinell übersetzt wurde, durch schlechtes Deutsch auffällt oder verstümmelte Buchstaben und Sonderzeichen enthält. Auch das Fehlen einer persönlichen Anrede deutet auf Phishing hin, ebenso, wenn sich am Ende der offiziell aussehenden Mail Buchstaben- oder Wortsalat zeigt. Das zeugt vom Versuch, lernende Spam-Filter zu täuschen.

Tipps gegen Phishing und Phishing-Mails

• Phishing-Mails arbeiten oft mit der Dringlichkeit der Aufforderung: Typisch sind Hinweise auf eine wichtige Sicherheitsüberprüfung, auf eine nötige Freischaltung oder ähnliches, zuweilen flankiert von Drohungen, ein Zugang würde bald gesperrt oder Geld ginge verloren, wenn Sie jetzt nichts unternehmen.

• In Wirklichkeit meiden vor allem Banken diese Art der Kommunikation und verwenden für wichtige Korrespondenz nach wie vor den Postbrief. Versuchen Sie, es dabei zu belassen: Meiden Sie alle Angebote von Banken und ähnlichen Instituten, die für Phisher attraktiv sind, mit Ihnen per E-Mail zu kommunizieren. Zwingen Sie sie dagegen zur Briefpost-Kommunikation, denn dann wissen Sie: Wenn ist nicht auf Papier kommt, ist es Phishing.

(Ja, das wird sich leider nicht mehr lange machen lassen – siehe Telekom Rechnung Online -, aber so lange es halt geht. Es wäre meiner Meinung nach Aufgabe des Staates, eine sichere IT-Infrastruktur einzuführen, aber der Staat installiert scheinbar lieber Bundestrojaner.)

• Achten Sie auf Webadressen. Hat eine Webadresse die Form http://211.199.252.187:180/r1/hyp/ anstelle von www.hypovereinsbank.de, dann stimmt was nicht.

• Zahlen in der Webadresse oder anstelle eines Domainnamens sind immer verdächtig, kein seriöses Unternehmen würde sich hinter ihrer Anonymität verstecken.

• Doch auch Namen können verdächtig sein: In der Webadresse www.volksbank.de.mgmcomps.com/r1/vf/ steckt zwar, von Links gelesen, die scheinbare Volksbank drin, aber die eigentliche Domain dieser angeblichen Volksbank-Adresse ist eben doch mgmcomps.com.

Jeder Domainname hat vereinfacht dargestellt mindestens zwei Teile: Ein Second-Level-Label wie scareware und eine Top-Level-Domain wie de, zusammen also scareware.de. Vorne dran steht ein http:// oder https://. Nach dem Domainnamen steht der Pfad zu einer Website. ABER: Zwischen http:// und dem minimalen Domainnamen kann beliebiger sonstiger Käse stehen. www zum Beispiel. Oder auch http://www.staatsbank.de.scareware.de. Relevant ist nur der kursiv markierte Teil vor der Top-Level-Domain. Der fettgedruckte ist nur Täuschung.

• Achten Sie daher stets nur auf jenen Domain-Namen, der sich links vom ersten / befindet und – von rechts nach links betrachtet – aus der Top-Level-Domain(.com, .de, .net, .info etc.) und dem Domainnamen links vom Punkt besteht.

• Achten Sie beim Banken auf https-Seiten (Secure HTTP). Ein untrügliches Merkmal für Phishing ist, wenn Sie auf eine Bankseite oder ähnliches gelockt werden und dort Zugangsdaten eingeben sollen – der Browser dabei aber keine Verschlüsselung (SSL) verwendet. Das wäre für Online-Banking zu unsicher und daher unvernünftig. Daher befördert Sie ein Klick auf “Online-Banking” bei fast jeder Bank Sie zu einer Seite mit SSL-Verschlüsselung. Nur manchmal ist die Login-Seite nicht SSL-gesichert; holen Sie das nach, indem Sie in der Adresszeile nach dem http und vor dem :// ein s einfügen, so dass ein https: draus wird.

• Sie erkennen eine SSL-verschlüsselte https-Browserverbindung daran, dass die Webadresse mit https: beginnt und der Browser ein Schloss-Symbol anzeigt. Einiger Browser unterlegen die Adresszeile zusätzlich farbig und blenden den Anbieternamen (der stammt aus einem Sicherheitszertifikat) nochmal farbig hinterlegt ein.

Sichere https:-Verbindung zu Google

Sichere https:-Verbindung zur Bank

• Misstrauen Sie auch ganz allgemein Webadressen, die nur so klingen, als würden Sie zu Banken gehören.

• Loggen Sie sich nur über den offiziellen Weg ein, von der Hauptseite der Bank aus, die diese Ihnen schriftlich mitgeteilt hat.

• Werden Sie hellhörig, wenn Sie nach Identitätsmerkmalen wie Benutzername, Passwort, PIN oder TAN gefragt werden. Wenn das schon nach dem Klick auf einen Link in einer Mail oder direkt in der Mail der Fall ist, steckt womöglich Phishing dahinter.

• Machen Sie sich stets bewusst, auf welcher Webseite Sie sich befinden.

• Melden Sie sich mit Ihren Zugangsdaten nur auf Webseiten an, deren URL wie https://www.paypal.com/de/ Sie persönlich eingegeben haben. Achten Sie darauf, dass Sie PIN und TAN nur auf Seiten angeben, die gesichert sind – erkennbar an einer Webadresse beginnend mit https:// und am Schloß-Symbol in der unteren Statuszeile des Browser.

• Normalerweise melden Sie sich mit Zugangsname und PIN an und verwenden eine TAN erst bei einer Transaktion. Verlassen Sie die Webseite, wenn TANs ohne konkreten Anlass (Ãœberweisung) abgefragt werden, wenn die Eingabe von PIN und TAN auf einer Seite verlangt wird oder Sie aufgefordert werden, mehrere TANs auf einer Seite einzugeben.

• Verwenden Sie Mozilla Thunderbird als Mail-Software. Es besitzt einen eingebauten Phishing-Alarm, der erstaunlich gut funktioniert. Nutzen Sie dort unbedingt die Möglichkeit, Falscherkennungen zu korrigieren, indem Sie bei „falsch positiv“ erkannten – also „echten“ Mails Ihrer Bank – auf „Kein Betrug“ klicken.

Phishing mit SSL erkennen

Einige Phishings haben aber auch diese Hürde überwunden und tarnen sich noch besser, indem Sie eine SSL-Verbindung aufbauen, erkennbar am https:// in der Adresszeile des Browsers. Das lässt sich theoretisch erkennen: Wählen Sie im Internet Explorer „Datei, Eigenschaften, Zertifikate“ oder in Firefox „Extras, Seiteninformationen, Sicherheit, Anzeigen“. In beiden Fällen sehen Sie, dass das Zertifikat die aktuelle Webadresse wirklich mit dem genannten Unternehmen verbindet.

So weit, so gut. Doch auch diese Angabe lässt sich fälschen.Das passiert zwar bisher sehr selten (ein Einzelfall in den USA), doch steht zu erwarten, dass hier weitere Attacken folgen werden.

• Vergleichen Sie die Webadresse, welche die richtige zu sein scheint, genau mit der, die Sie zum Beispiel zusammen mit Ihrer PIN erhalten haben.

• Melden Sie sich auf keiner Webseite mit Ihren Zugangsdaten an, die Sie nicht persönlich durch die Eingabe der entsprechenden URL geöffnet haben. Einzige Ausnahme: wenn Sie das Login ausgehend von der Basisseite angesprungen haben. Dann gilt allerdings für die Basisseite, dass Sie sie persönlich durch die Eingabe der entsprechenden URL geöffnet haben.

Identitätsdiebstahl & Identitätsbetrug

Im echten Leben sind Ihre Identität SIE. Wenn Sie zum Bäcker gehen, zu dem Sie täglich gehen, und versehentlich kein Geld bei sich haben, dann wird der auch mal zulassen, dass Sie einen Tag später bezahlen – denn Ihre Identität ist ihm bekannt. Ihr Zahnarzt behandelt Sie, auch ohne dass Sie sich ausweisen müssen, denn Sie lassen sich bei ihm schon seit Jahren die Beisser richten. Im “real life” ist Identität relativ einfach zu handhaben.

Im Internet ist das ganz anders. Dort besteht Ihre Identität nur aus ganz wenigen Parametern. Das sind typischerweise Name, Adresse, Bankverbindungsdaten und Kreditkartenummern sowie zahlreiche Paare von Benutzernamen plus Kennwort. Das alles passt auf einen A7-Zettel, und doch macht es SIE aus – zumindest, soweit es das Netz betrifft.

Ziel eines Identitätsdiebstahls ist es, den A7-Zettel in die Finger zu kriegen, anders gesagt: möglichst viele Parameter Ihrer elektronischen Identität zu ermitteln.

Ist Identitätsdiebstahl aufwändig?

Wer im Internet jemals eingekauft hat, hat ja mindestens Name und Adresse sowie eine Zahlungsmöglichkeit angegeben. Doch auch Gauner könnten Shops eröffnen, und jeder Kunde übergäbe dann seine persönlichen Daten freiwillig. Es muss nicht immer ein Krimineller sein: Ein gekündigter, frustrierter Mitarbeiter reicht aus, damit Ihre Daten in die falschen Hände gelangen. Oder: Die den Shop betreibende Firma geht pleite. Wer kann sagen, was dann mit den Daten passiert?

Beispiel: Freemail-Anbieter wie Windows Live Mail, Hotmail, Google Mail, Yahoo! Mail, GMX, Web.de und so weiter. Auch dort besteht die Identität nur aus Nutzername und Passwort. Wer beides an sich bringt, kann unter fremden Namen Mails schreiben und zum Beispiel andere Personen belästigen, was wiederum polizeiliche Ermittlungen gegen den eigentlichen Inhaber der gestohlenen Identität nach sich ziehen kann.

Mit Hilfe einer gestohlenen E-Mail-Identität melden sich Kriminelle z.B. bei Shops an. Ein Identitätsdieb benötigt dann nur noch Kontendaten, um in diesen Shops auch einkaufen zu können. Oder: Mail-Kontendaten sind meist mit einer  wirklichen Identität verknüpft. Der Identitätsdieb braucht nur lange genug – und möglichst unauffällig – Ihre Mails mitzulesen und kann auf diese Weise herausbekommen, wer Sie wirklich sind. Ist Ihr Wohnort erst einmal bekannt, reicht ein bisschen Stöbern im Altpapier, um einen weggeworfenen Kontoauszug oder ähnliches aufzutreiben.

Eine gestohlene E-Mail-Identität kann weitere Identitätsdiebstähle nach sich ziehen. Viele Systeme bieten an, gespeicherte Passwörter für den Fall, das man sie vergessen hat, an die E-Mail-Adresse zu schicken. Auf diese Weise kann sich der Dieb einer Mail-Identität weitere Passworte beschaffen, die ihm wiederum neue Identitäten erschließen. Eine längerfristige Beobachtung all dieser Identitäten erlaubt es, das Verhalten des Opfers zu studieren und so noch besser seine Identität missbrauchen zu können.

Anderes Beispiel: Ihre eBay-Identität. Sie besteht aus Benutzername & Passwort. Werden beide Angaben gestohlen, reicht das völlig aus, um in Ihrem Namen Gebote abzugeben und Artikel zu kaufen, die sie gar nicht haben wollen. Umgekehrt lassen sich Angebote einstellen und Verkäufe abwickeln: Da jedes Angebot individuelle Zahlungshinweise enthalten kann, können Kriminelle unter einer gestohlenen Identität ungeniert Hehlerwaren verkaufen. Das Geld trudelt beim Gauner ein, polizeiliche Ermittlungen gelten dagegen dem Geprellten.

Hinzu kommt: eBay-User geben als “Verkäufer” jedem „Käufer“, der bereit ist, einen Euro für einen Gebrauchtschnickschnack auszugeben, freiwillig ihre Kontodaten in die Hand. Gangster, die eine E-Mail-Identität gestohlen haben, die mit eBay verknüpft ist, müssen also nur noch “sich selbst” etwas verkaufen, um in den Besitz der Konteninformationen zu gelangen.

Beim Diebstahl Ihrer “Identität” im Internet geht es nicht ausschliesslich darum, dass jemand Sie direkt schädigen möchte oder wird. Oft geht es dem Angreifer auch darum, seine eigene wahre Identität zu verschleiern und Ermittler auf eine falsche (nämlich Ihre) Spur zu führen. So oder so sind das Opfer am Ende Sie.

Wie erkenne ich Identitätsdiebstahl?

• Phishing: Ein klassischer Versuch, Ihre Identität (und auch die viele anderer) zu stehlen, ist der Phishing-Angriff (siehe dort).

• Social hacking: E-Mails, Chat-Gesprächspartner oder Anrufer, die einzelne Parameter Ihrer elektronischen Identität direkt bei Ihnen (oder einem Bekannten/Kollegen/Eltern) abfragen, deuten darauf hin, dass jemand gezielt Ihre Identität ausspionieren will. Seien Sie wachsam, wenn jemand von solchen Versuchen berichtet. Denken Sie auch an die anderen, wenn jemand auf diese Weise versucht, über Ihre Bekannten oder Kollegen etwas in Erfahrung zu bringen.

• Transfer-Poltergeist: Prüfen Sie regelmässig Ihre Kontobewegungen und stellen Sie sicher, dass alle Transaktionen von Ihnen stammen. Merkwürdige Transaktionen, auch von bescheidenen Beträgen, können auf Identitätsdiebstahl hinweisen.

• Ghostwriter: Prüfen Sie regelmässig den Postausgang und den Papierkorb Ihres Mail-Anbieters. Gibt es dort Mails, die Sie nicht geschrieben haben, dann verweist auch das auf einen Identitätsdiebstahl.

• Stille: Wenn Sie bestimmte Post nicht mehr erhalten – etwa Kreditkartenabrechnungen -, dann hat unter Umständen jemand eine neue Adresse angegeben und so Ihre Post auf sich umgeleitet. Gleiches gilt für Bestätigungen von Shops.

Tipps gegen Identitätsdiebstahl

• Daten sparen: Speichern Sie so wenig persönliche Daten wie möglich auf Ihrem Rechner, auch wenn es sich um einen stationären PC handelt. Legen Sie zum Beispiel mit TrueCrypt oder einem vergleichbaren Tool einen Container an, in dem Sie Ihre Korrespondenz speichern. Für riesige Datenmassen, etwa Fotos, ist so was natürlich ungeeignet, aber im Prinzip dennoch ratsam.

• Müll shreddern: Ja wirklich, es gibt Leute, die durchwühlen Müll auf der Suche nach Identitätshinweisen. Schmeissen Sie also Kontoauszüge und ähnliches sowie Notizzettel mit alten Login-Daten, Passwörtern etc. nicht einfach in den Müll. Shreddern Sie diese von Hand. Machen Sie zwei oder mehr Häufchen und entsorgen sie diese zeitlich und räumlich getrennt, etwa einen Teil heute mit dem Hausmüll, einen Teil in zwei Wochen mit dem Papiermüll.

• Schweigen: Verschicken Sie keine Parameter Ihrer elektronischen Identität (Kontendaten, Kreditkartenummern, Zugangsdaten, Passwörter und so weiter) per E-Mail und speichern Sie diese auch nicht online.

• Kein Internet-Café: Verwenden Sie Ihre Zugangsdaten, ergo auch jedwede Webservices, niemals auf wenig vertrauenswürdigen Rechnern wie denen in Internet-Cafés. Richten Sie sich speziell hierfür ein wertloses Freemail-Konto ein, das möglichst nicht mit Ihrer wahren Identität verknüpft ist.

• Kein Office-PC: Verwenden Sie Ihre Zugangsdaten, ergo auch jedwede Webservices, niemals auf Firmenrechnern. Sie müssen damit rechnen, dass Ihr Chef Sie ausspioniert, natürlich nur, um die Einhaltung von Arbeitszeiten etc. zu kontrollieren. Sie müssen außerdem damit rechnen, dass sich Admin oder Support einen Spaß daraus machen, Sie auszuspionieren. Selbst wenn weder Ihr Boss noch der Admin wirklich Böses im Schilde führen, so fallen doch persönliche Daten an, bei Verwendung von Keyloggern zum Beispiel alle Ihre Identitätspaare aus Username/Passwort. So erfasste Daten, die existieren, können dann auch mal in falsche Hände fallen. (Dies ist übrigens das wahre Problem mit Vorratsdatenspeicherung & Co.: Nicht dass Schäuble uns belauscht, sollte uns Sorgen machen, sondern dass unsere abgelauschten Daten dann fix & fertig irgendwo rumliegen, wo Kriminelle oder Korrupte sie nur noch abholen müssen.)

• Verschlüsseln: Auf mobilen Rechnern sind Ihre Daten besonders gefährdet. Sichern Sie Ihr Netbook oder Notebook mit TrueCrypt oder einer vergleichbaren Lösung.

• Geben Sie ganz allgemein niemals Ihren Benutzernamen und Ihr Passwort preis, außer dort, wo die Eingabe dieser Daten wirklich erforderlich ist – also beim Login.

• Verwenden Sie nur Login-Webseiten, die Sie selbst manuell aufgerufen oder von der Hauptseite des jeweiligen Dienstes aus erreicht haben –also „www.ebay.de“, „www.gmx.de“ oder „www.web.de“.

• Um Services zu nutzen, klicken Sie nicht auf Links, die Sie per Mail erhalten. Vor allem Hinweis-Mails von Banken oder allem, was mit Geld und Kauf zu tun hat.
  Natürlich lässt sich das nicht durchhalten, jede Verifikationsmail verlangt ja genau das. Überlegen Sie einfach stets genau, ob es jetzt konkret einen plausiblen Grund gibt, warum der Dienst Ihnen eine E-Mail mit diesem Link schickt, der dann ja oft zu einer Passwortabfrage führt.

• Wenn Sie ein Notizbuch für Ihre Passwörter verwenden, nehmen Sie dieses nicht ins Büro mit. Bewahren Sie es nicht bei ihren sonstigen geldrelevanten Unterlagen auf. Speichern Sie Zugangsdaten und Passwörter möglichst nicht auf Ihrem PC. Wenn Sie es tun, verschlüsseln Sie diese Daten unbedingt mit einem Verschlüsselungstool.

• Wählen Sie stets ein sicheres Passwort. (Siehe Tipps für sichere Passwörter.)

• Verwenden Sie pro Service / Dienst / System je ein individuelles Passwert. Verwenden Sie auf keinen Fall ein und dasselbe Passwort bei mehreren Diensten. Wer eines Ihrer Passwörter gestohlen hat, hat sonst Zugriff auf Ihre anderen Identitäten mit denselben Passwörtern.

• Wechseln Sie alle Ihre Passworte, wenn Sie auch nur den geringsten Verdacht eines Identitätsdiebstahls haben. Der Grund: Ein schlauer Identitätsdieb fällt nicht sofort durch Raubzüge im großen Stil auf. Stattdessen wird er versuchen, zuerst möglichst viele weitere Informationen zu sammeln. Indem Sie alle Kennworte auf einmal ändern, sperren Sie den unbemerkten Kuckuck aus.

• Wer es sich leisten kann, doppelte Kontoführungsgebühren zu bezahlen, sollte zum Beispiel ein Konto ohne Dispo-Kredit nur für eBay-Ãœberweisungen betreiben und dieses Konto gegen Einzüge sperren. So können Sie Einkäufe bezahlen und Einnahmen annehmen, ohne elektronischen Kontoraub befürchten zu müssen. Suchen Sie per Google nach „girokonto kostenlos“, um entsprechende Banken zu finden.

• Wer bereits Opfer wurde, ändert möglichst alle Parameter seiner elektronischen Identität: Wechseln Sie die Bank, löschen Sie alle E-Mail-Konten und auch alle Zugänge bei Shops und ähnlichem. Setzen Sie sich mit dem anderen Teilnehmer der Transaktion (zum Beispiel jemand, der über Ihre gestohlene Identität bei Ebay etwas gekauft hat) in Verbindung und erstatten Sie beide Anzeige gegen Unbekannt.

Einen recht unterhaltsamen Roman zum Thema hat übrigens T.C.Boyle geschrieben: “Talk Talk” schildert sachlich recht gut (und aus Opfersicht), was passieren kann, wenn ganz gezielt eine Identität übernommen wird. Allerdings stellen sich Boyles Protagonisten anfangs auch selten blöd an…

Interessante Links zum Thema:

• www.kriminologie.uni-hamburg.de
• www.identitytheft.org.uk
• www.idtheftcenter.org
• www.fraud.org

Hotmail gehackt? Windows Live ID Kennwort ändern!

Wann immer Mail-Konten bei Windows Live oder Windows Hotmail “gehackt” wurden, sollte man sein Passwort für Windows Live Hotmail ändern. Bloß: Wie? Denn wo das Kennwort zu ändern ist, das findet man nämlich nicht im Live-Menü, ich jedenfalls fand es nicht* in diesem wilden Verhau von “Passport”, “Live”, “Hotmail”, den Microsoft da kopflos zusammengeschludert hat.

Nein, ich finde Live gar nicht schlecht, nur unübersichtlich.

Wie ändert man das Passwort bei Live / Hotmail?

So geht’s immer und übrigens mit fast jedem Browser in fast jedem OS:

• Besuchen Sie die Website https://login.live.com. Vergewissern Sie sich, dass der Browser in der Adresszeile neben der https-Webadresse mit Schloß-Symbol deutlich kenntlich macht, dass es sich um die Microsoft-Seite handelt.

• Melden Sie sich mit Namen und Passwort an. Wenn das noch geht, ist Ihr Konto zwar noch in Ihren Händen, aber möglicherweise hat auch ein anderer Zugriff darauf. (Es ist ja Sinn eines Konto-Hacks, möglichst lange Ihre Mails mitzulesen, ohne dass Sie es bemerken)
  Wenn das nicht geht, wählen Sie Kennwort vergessen und folgen Sie den Anweisungen, die problemlos zum Ziel führen: einem neuen Passwort für Ihr Konto. Dann brauchen Sie den Rest nicht, bis “Ein bisschen Nacharbeit” (s.u.).

• Danach befinden Sie sich auf der Seite Konto.
  Wenn das *nicht* der Fall ist, besuchen Sie manuell die Seite https://account.live.com/ oder https://account.live.com/summarypage.aspx. Vergewissern Sie sich auch hier, dass der Browser in der Adresszeile neben der https-Webadresse mit Schloß-Symbol deutlich kenntlich macht, dass es sich um die Microsoft-Seite handelt.

• Klicken Sie unter Informationen zum Zurücksetzen des Kennworts bei Kennwort auf Ändern.

• Geben Sie Ihr altes Passwort und das neue Kennwort ein.
  Das neue sollte erkennbar vom alten Abweichen und sich nicht durch Raten aus dem alten Passwort schließen lassen.
• Achten Sie auf den Hinweis Sicher, den die Webseite bei der Eingabe Ihres Passwortes gibt. Hier gibts Tipps für ein sicheres Passwort.

• Klicken Sie auf Speichern – das war’s.

*Ein anderer Weg, sein Live oder Hotmail PW zu ändern:

• In Hotmail rechts oben auf Optionen klicken.
• In der Drop-Down-Liste Optionen den Menübefehl Weitere Optionen wählen.
• Links bei Optionen anzeigen für auf Windows Live klicken.
• Dann landet man auf http://home.live.com/options, was man wohl auch direkt hätte aufrufen können.
• Da gibts dann bei Konto ein Kennwort zum Anklicken.
• Bei Bedarf: Hier gibts Tipps für ein sicheres Kennwort.

Geht nicht wirklich schneller.

Messenger-PWs ändern!

• Melden Sie sich mit allen Browsern und Diensten (etwa Live Messenger) ab.
  Beenden Sie Live Messenger.

• Wenn Sie Passwörter des Dienstes in Ihrem Browser gespeichert haben, löschen Sie diese Einträge.

• Starten Sie Programme wie Live Messenger neu. Beim Anmelden erscheint die Fehlermeldung zum Kennwort. Wenn nicht, stimmt was nicht: Beenden Sie den Messenger (rechte Maustaste auf das Icon in der Systemablage rechts unten, Beenden) und starten Sie ihn neu.

• Melden Sie sich mit dem Windows Messenger neu an.
  Wenn der nicht von selbst anbietet, dass Sie bitte ein neues Passwort eingeben, wählen Sie statt Anmelden als [Kontoname] das einfache Anmelden. Dann fragt Messenger nach Name und Kennwort.
  Wenn das Passwort “grau” ist und sich nicht ändern lässt, deaktivieren Sie die Option Mein Kennwort speichern – dann lässt es sich ändern. Man kann die Option danach wieder aktivieren. Wenn die Option nicht sichtbar ist, klicken Sie auf das kleine, nach unten zeigende Häkchen, um die Anmeldeoptionen aufzuklappen.

Ein bisschen Nacharbeit ist noch fällig:

• Denken Sie an Verknüpfte IDs (ebenfalls zu finden in der Live-Kontenverwaltung), die möglicherweise ebenfalls gefährdet sind und denen daher ein neues Passwort ebenfalls nicht schadet.

• Wichtig: Nutzt man andere Dienste, die ihre Passwörter an ein möglicherweise kompromittiertes Live- oder Hotmail-Konto geschickt haben, dann sind möglicherweise auch diese Kennwörter schon kompromittiert (siehe Identitätsdiebstahl). Der Paranoide ändert daher auch die Passwörter der anderen Dienste.

• BTW: Hier gibts Tipps für sichere Kennwörter.