Capture API is watching you

Die Zeit, in der ich “1984″ las, war geprägt von Ideen wie “No Future” und “Big Brother“ sowie Angst vor der nahenden nuklearen Vernichtung durch die Supermächte. Ich gebe allerdings zu, dass ich “1984″ in meiner SF-Bücher-verschlingenden Jugend einen verdammt doofen Roman fand. Erstens ist dieser knockentrockene Langweiler verdammt bräsig geschrieben. Zweitens war George Orwell sichtlich ein Propagandist, und, wie man inzwischen annimmt, auch ein Denunziant im Auftrage genau jener Staatsmacht, vor dessen Totalität er stets warnte. Und drittens ist meine Mindestforderung an eine Dystopie, dass sie glaubwürdig sein muss. Wer aber, so fragte ich mich bei “1984″, wer würde schon zulassen, dass die Welt so wird, wie dieser Roman sie darstellt?

Sorry, George, heute muss ich Dir Abbitte leisten. Wie in der – meines Erachtens weit besseren – Dystopie “Schöne neue Welt” von Huxley werden wir uns freiwillig in Ketten legen. Den Ãœberwachungsstaat also selbst installieren. Alle Zutaten für den totalitären Eintopf sind bald zusammen:

• Fast jedes Notebook, und bald auch fast jeder PC haben Mikrophon und Kamera,
• die Leute “broadcasten” sich schon heute hemmungslos, siehe zaplive.tv,
• und heute, am 10.12. veröffentlichte das W3C den Draft zur Capture API.

Das W3C ist das Gremium zur Standardisierung der das World Wide Web betreffenden Techniken. Eine API (Application Programming Interface) ist allgemein gesprochen eine Sammlung von Regeln, dank der eine Software, die sich an diese Regeln hält, mit einem Betriebssystem (und der Hardware, die es steuert), das sich ebenfalls an diese Regeln hält, kommunizieren kann. Der Draft bedeutet nun also nicht, dass alle diese Technik einführen müssen oder sich alle daran halten werden. Und es war auch bisher schon möglich, Mikrophon und Kamera aus dem Web anzuzapfen, zum Beispiel per Flash.

Die Capture API erleichtert jedoch das Zusammenspiel von Video/Audio/Foto-Aufnahmen durch das Web. Künftig muss niemand mehr wissen, wie man das Problem, eine Kamera anzuzapfen, löst, denn die Capture API wird eine fertige Funktion dafür bereitstellen, auf jeder Kamera, in jedem PC. Anbieter von Webservices müssen diese nur noch ansprechen.

Was bedeutet das nun? Es bedeutet, dass wir drauf und dran sind, großflächig eine Infrastruktur der Videokommunikation einzuführen. So, wie Bildtelefonate via Skype  zwischen zwei Personen heute kein Problem mehr sind, können Videogespräche zwischen beliebigen Systemen bald die Struktur sozialer Netzwerke durchdringen und so die landläufige Dialogstruktur völlig auflösen. Statt kurze Text-Statements loszulassen, diese zu kommentieren, die Kommentare zu kommentieren und das alles miteinander zu vernetzen, könnten das in Zukunft Video-Statements tun. (Ob das wirklich so kommt? ISDN-Bildtelefone waren Flops, Videopostcasts sind noch immer rar… Video ist nur scheinbar „einfacher“ als Text und setzt eine visuelle Alphabetisierung voraus, die noch nicht mal die Schule vermittelt.)

Als Rufer in der Wüste möchte  ich dazu auch einige Warnungen loswerden. Damit es im Jahr 2084 nicht heißt, es hätte niemand die Zeichen gesehen:

Mit der Einführung der Videokultur wird die Textkultur noch weiter abgeschafft. Wir werden daher, glaube ich, noch weiter verdummen. Das mag aber nur die Ansicht eines Kulturpessimisten sein, und Polemiker werden nun Platon anführen, der im Phaidros (einige Übersetzungen hier) durch die Stimme des Thamos vor der Einführung der Schriftkultur (!) warnt:

…du hast jetzt, als Vater der Schrift, aus Voreingenommenheit das Gegenteil von dem angegeben, was sie vermag. Denn diese Kunst wird Vergessenheit schaffen in den Seelen derer, die sie erlernen, aus Achtlosigkeit gegen das Gedächtnis, da die Leute im Vertrauen auf das Schriftstück von außen sich werden erinnern lassen durch fremde Zeichen, nicht von innen heraus durch Selbstbesinnen. Also nicht ein Mittel zur Kräftigung, sondern zur Stützung des Gedächtnisses hast du erfunden. Und von Weisheit gibst du deinen Lehrlingen einen Schein, nicht die Wahrheit: wenn sie vieles gehört haben ohne Belehrung, werden sie auch viel zu verstehen sich einbilden, da sie doch größtenteils nichts verstehen und schwer zu ertragen sind im Umgang, zu Dünkelweisen geworden und nicht zu Weisen

und so weiter, Papa Platon wortete damals ziemlich Stephen-King-mäßig was zusammen, man müsste das mal in einer gekürzten Lite-Version relaunchen. Jedenfalls wird klar: immer das gleiche! Schon vor 2500 Jahren warnte ein Denker vor der Schrift, in 250 Jahren werden Teletubby-Philosophen in Videos den Untergang der Videokultur bejammern,  und auch heute sind es die gleichen immer & ewig alten Säcke, die über den Verlust der Schrift lamentieren, meist Journalisten und Autoren, die ihre Altpapier-Pfründe bewahren wollen.

Ich setze dem entgegen, dass ich es für einen Irrglauben halte, den Fortschrittsgedanken der Technik („alles wird immer besser“) auf die Kultur anwenden zu können. Wir hatten in Europa schon eine Hochkultur, ehe das finstre Mittelalter kam. Wir hatten eine Aufklärung, ehe wir Nazis hatten. Wir lernen in der Schule Physik und lassen uns als Erwachsene Horoskope erstellen, „Bild“ ist die #1-App auf dem iPhone. Wer mal drüber nachdenkt, wird feststellen, dass Platons Stimme im Zitat letztlich recht hatte. Wir sind gewiss blöder als der griechische Adel, wenn auch schlauer als die damals in Demokratien üblichen Sklaven.

Es ist sicher fraglich, ob wir technisch heute da wären, wo wir sind, wenn wir nicht ständig auf den Schriften anderer hätten aufbauen können. Kulturell spielt es aber, glaube ich, keine oder eine nur geringe Rolle. Werden wir also künftig auf den “Videos anderer” eine bessere Kultur aufbauen können als die, die wir heute haben? Schwer vorstellbar – aber vielleicht eben auch nur, weil meine Vorstellungskraft begrenzt ist, 1.0, veraltet, schrottreif, dringend aufs Videolevel zu patchen (ich möchte noch anmerken, dass ich eine Xbox 360 habe, darauf Egoshooter bevorzuge und etwa 700 DVDs besitze (nebst 3000 Büchern), zwei MP3-Player, zwei Digicams, drei Camcorder (DV, Flip und HD) ein Android als Handy … also gewiss kein Feind “neuer Medien” bin). Jedoch:

Mit der Einführung einer globalen, weil Internet-gestützten Infrastruktur zur Videokommunikation führen wir auch die globale Videoüberwachung ein. Nur dass es nicht mehr der Fernseher ist, der uns anglotzt, sondern der Rechner (was bei zunehmender Konvergenz aber keine Unterscheidung mehr ist). Natürlich führen wir das nicht wirklich ein, stattdessen führen wir nur eine Infrastruktur ein, die sich zur Überwachung missbrauchen lässt.

Viele finden den Beitrag “Standardsituationen der Technologiekritik” klug, weil er so schön anschauliche Beispiele hat. Ich mag diesen Beitrag ebenfalls. Er täuscht aber nicht über einige Dinge hinweg:

• Die ersten Schritte einer Infrastruktur zum Austausch von Dokumenten auf Papier, aka “Kuriere”, hatte bereits den Missbrauch zur Folge. Sonst hätten die alten Römer nicht die Verschlüsselung erfunden. Mit der Globalisierung der Briefkommunikation, aka “Post”, kam auch die Ãœberwachung von Briefen, etwa in der DDR.
• Die wunderbare Erfindung der globalen Kommunikation mit elektronischen Nachrichten, aka “Mail”, hat selbstverständlich sofort zu Systemen wie “Carnivore” (USA/FBI) geführt, die dieses überwachen und analysieren. Mit privaten Entsprechungen in Unternehmen – zu Zwecken des Spam-Schutzes – zensieren ähnliche Tools heute bereits auf breiter Front (wofür wir dankbar sind). “Echelon” überwacht Satellitenkommunikation, China … und so weiter.
• Mit der globalen Einführung einer statistischen Analysetechnik von Zugriffen auf Informationen (die zwangsläufig einhergeht mit der Installation von Webservern, die Logfiles schreiben) entstand überhaupt erst die Grundlage für die “Vorratsdatenspeicherung”.
• Die globale Infrastruktur für die Umwandlung von Webadressen zu IP-Adressen, “DNS”, wurde in diesem Jahr zum Schauplatz für völlig sinnlose, aber höchst malerische “Stop”-Aktionen, mit denen sich Frau von der Leyen zu profilieren versuchte.

Kurz: Wo immer eine Infrastruktur aufgebaut wird, geraten die legale Wirtschaft, aber auch die Schattenwirtschaft mit ihrer Datenmafia, es gut meinende Politiker, aber auch es weniger gut meinende Politiker, und natürlich auch Nachrichtendienste und Kriminelle aller Art in die Versuchung, diese Infrastruktur vor ihren Karren zu spannen.

Das wird mit der Videokommunikation nicht anders sein. Wenn die Kameras überall sind, wird man sie auch nutzen.

Einige typische Einwände:

“Na ja, die sehen mich vor dem Rechner sitzen. Na und?”

Installieren Sie sich mal die Fotobuchsoftware von Pixum oder experimentieren Sie mit der Gesichtserkennung von Picasa oder leihen Sie sich ein Android-Handy und testen Sie Google Goggles, denn dann haben Sie erste Eindrücke davon, was technisch möglich ist und daher bald auch live per Video möglich sein wird. Und: Wenn eine Regierung 2009 nicht davor zurückschreckt, Internet-Seiten zu zensieren, warum sollte sie davor zurückschrecken, Videokommunikation zu zensieren – und zwar automatisch, aufgrund einer Texterkennung; oder weil eine Software errechnet, Ihre Stimmlage wäre „verdächtig“. (Halten Sie für Unsinn? Lesen Sie das hier. Rötzer, der Autor, ist natürlich ein Polemiker, aber die Wege der Ãœbertreibung sind es nun mal, die zu den Palästen der Weisheit führen). Ja, ich bin mir auch nicht sicher, ob Blake das so gemeint hat, wie ich das hier verwende ;-)

“Ich habe nichts zu verbergen, Terroristen schon.”

Gegen dieses “Argument” lässt sich höchstens was twittern, denn es ist einfach zu dämlich für eine Entgegnung in einen ganzen Satz. Ich schreibe trotzdem ein paar: Es geht ja nicht nur darum, dass der mutmaßlich böse Staat einen überwacht – das ist rein linke Propaganda (in den USA rein rechte), leider dank Spam-Personen wie Frau von der Leyen berechtigt. Es geht auch darum, dass Terroristen diese Infrastruktur ebenfalls anzapfen können. Hacker. Wirtschaftskriminelle. Nur der Bürger, der im Allgemeinen nur „Nutzer“ sein will, wird es nicht können, seine Rolle beschränkt sich aufs Opfer-sein im Cyberwar. Aber jeder, dem es die Mühe wert scheint, wird es sich leisten, einen Spezialisten anzuheuern, der ihm Zutritt verschafft in unsere Wohnzimmer, Schlafzimmer und Konferenzräume. Genau so, wie diese Kriminellen heute schon weltweit Millionen von kompromittierten Rechnern für Spams und andere Attacken nutzen können, weil sie fähige Computergeeks engagiert haben.

Es muss übrigens für einen Polizisten, einen stark angefeindeten Innenpolitiker wie Schäuble oder einen Nachrichtendienstler äußerst befremdend bis erheiternd zu sein, folgendes zu beobachten:

• Die einen Bürger gehen gegen staatliche Videoüberwachung auf die Straße. Sie wollen Datenschutzgesetze. Sie sind gegen Volkszählung.
• Den anderen Bürgern geht sie noch nicht weit genug, sie schalten die Cam fürs Internet frei, tragen sich in möglichst allen social networks ein.

Tipps: Sicher online shoppen vor Weihnachten

Wer sich durch die TV-Kanäle zappt, erhält schnell den Eindruck, das Internet wäre ein höllischer Sündenpfuhl, ein digitales Sodom und Gomorrha, in dem das Faustrecht der Computerkriminellen gilt. Das ist natürlich Blödsinn und kontraproduktiv: Angesichts der Dauer-Denunziation ist es kein Wunder, dass Deutschland in Sachen Web-Entwicklung stets hinterherhinkt und kaum namhafte global players hervorgebracht hat.

Doch schon unsere Großmütter hielten uns an, nicht auf offener Straße im Geldbeutel herumzublättern, und Taschendiebe gibt es auf Weihnachtsmärkten, seitdem es Weihnachtsmärkte gibt. Man sollte also Online nicht sorgloser sein als Offline – der Unterschied ist nur, dass viele Anwender die wichtigsten Sicherheitsratschläge nicht kennen. Ich habe im Folgenden versucht, alle sinnvollen und den Komfort nicht völlig blockierenden Tipps zu sammeln.

PC-Sicherheit erhöhen

Stellen Sie erst mal sicher, dass Ihr Rechner prinzipiell „sicher“ ist. Laden Sie dazu die neuesten Aktualisierungen für Ihr Betriebssystem herunter. Allgemein: Deaktivieren Sie nicht die automatische Update-Funktion.

Verwenden Sie stets die jüngste Version Ihres Webbrowsers.

Erwerben Sie eine Sicherheitssoftware mit einem Virenscanner, der einen Echtzeitschutz im Hintergrund verwendet. Aktualisieren Sie auch den Virenscanner direkt vor dem Einkaufen.

Mehr dazu im Vorsorge-Plan zur Sicherheit.

Nicht jeden virtuellen Laden betreten

Es ist heute einfach und preiswert, einen „Shop“ im Internet zu eröffnen. Daher können auch Gauner und Abzocker es tun. Informieren Sie sich daher vor dem Anmelden in einem Webshop, ob dieses Angebot überhaupt vertrauenswürdig ist.

Achten Sie auf die sogenannte Anbietertransparenz: Gehen Identität und Anschrift des Anbieters eindeutig aus dem Impressum hervor?

Sind die AGBs sowie die Bedingungen für Datenschutz, Lieferzeiten, Garantie, Gewährleistung, Widerruf und Rückgabe leicht auffindbar und verständlich? Sind alle Preise klar und unmissverständlich angegeben?

Existieren Medienberichte über diesen Shop? Dies, und ob andere Nutzer im Web schon mal in diesem Shop gekauft haben, lässt sich mit einer Suchmaschine ermitteln. Meist lässt sich sagen: Je länger ein Shop im Geschäft ist, desto vertrauenswürdiger ist er. Prüfen Sie auch, ob die Benutzermeinungen über den Shop plausibel klingen. Ein Motzer in der Menge ist glaubwürdiger als zehn Lobhudler. Und: Sind die Äußerungen über einen breiten Zeitraum verteilt oder hat jemand unter Pseudonym eine „Meinungsmachen-Woche“ für den Job erledigt?

Shops mit Postfachadressen würde ich persönlich links liegen lassen, postalische Adresse sollte man, sofern man die Muße hat oder viel Geld ausgibt, mit Google Maps oder Telefonverzeichnissen auf Plausibilität prüfen (allerdings wird das nicht mehr lange ausreichen, denn natürlich fällt auch die Fälschung dieser Daten leichter; und mühsam ist es auch; vielleicht sogar übertrieben).

Vorsicht vor Einkäufen im Ausland

Als Deutscher kauft man am besten in Deutschland, als Österreicher in Österreich und als Schweizer in der Schweiz … nein, nicht, weil das so herrlich patriotisch ist. Sondern weil im jeweiligen Ausland andere Gesetze gelten. Nicht hinter jedem Shop steckt ein Gauner, ist ja klar. Doch gegen Gauner im eigenen Land vorzugehen ist schon schwer, gegen Gauner im Ausland lohnt die Mühe nicht mehr und man kann sein Geld abschreiben.

Auf versteckte Kosten achten

Preisvergleichssysteme schicken einen durchaus auch mal – und meist aus Versehen – zu Shops, die Sie mit hohen Nebenkosten hereinlegen wollen. Das heißt: Das Produkt ist billig, der Versand hingegen sehr teuer, in der Summe wäre Sie in einem anderen Shop besser dran.

Achten Sie stets auf versteckte Nebenkosten und darauf, ob Sie im Verlauf des Einkaufs versteckte Dienstleistungen in den Warenkorb legen. Reiseunternehmen zum Beispiel drehen einem gerne auch eine Versicherung an. Die kann ja durchaus nützlich sein, aber hätte man sie wirklich freiwillig gewählt, wenn sie einem der Shop nicht schon per Vorgabe untergejubelt hätte?

Siegel sind keine Sicherheit

Gerne verweist man auf Zertifikate wie Trusted Shops, EHI oder das TÜV-Siegel. Wahr ist, dass sich die Shops, um ein solches Siegel zu erhalten, soliden Prüfverfahren unterziehen müssen und daher tatsächlich besonders vertrauenswürdig sind.

Ebenso wahr ist aber, dass es daher für einen betrügerischen Shop besonders attraktiv ist, sich so ein Zertifikat als Schmuck auf die Website zu kleben, und nichts ist einfacher als das, denn letztlich ist es nur ein Bildchen. Das Siegel an sich sagt also wenig aus.

Umgekehrt wird ein Schuh daraus:

• Besuchen Sie www.trustedshops.de und suchen Sie dort nach dem Shop, der von sich behauptet, zertifiziert zu sein. Oder suchen Sie gleich dort nach Shops – die Website bietet inzwischen ein thematisches Verzeichnis.
• Unter www.safer-shopping.de/ gibt’s die Shops mit TÃœV Safer-Shopping-Siegel.
• Auch auf www.euro-label.com/zertifizierte-shops/ finden Sie Shops mit EHI-Siegel/Euro-Label. Weitere Infos gibt’s auf www.shopinfo.net. (Ich finde es ein wenig schade, dass die EHI-Geschichte auf zwei Seiten verteilt ist und inkohärent wirkt.)

Die Vergabe dieser Siegel ist nicht nur an Prüfkriterien gebunden, sondern sie kostet auch Geld. Kurz: Sie ist ein Geschäft (ja, auch der TÜV muss seine Mitarbeiter bezahlen). Daher drängen natürlich neue Unternehmen in den Markt, die ebenfalls Siegel vergeben und auf diese Weise ein Stück vom Kuchen abhaben wollen. Das Ergebnis sind mitunter auch Siegel fragwürdiger Aussagekraft. Diese Siegel können also durchaus etwas taugen, sie können aber auch nur Schmuck sein, ein digitales Voodoo-Amulett.

Meine Meinung: Lassen Sie sich lieber nicht von exotischen Siegeln blenden, bei den erwähnten Stellen oben gibt‘s genug Shops.

Hinweis: Kleine Shops können sich diese Sicherheits-Siegel unter Umständen nicht leisten. Wenn Sie dort ein begehrtes Produkt finden oder einem sympathischen Shop eine Chance geben wollen, dann rufen Sie doch einfach mal an. Man kann mit ein paar Sätzen viel mehr über einen Shopbetreiber erfahren als mit stundenlangem paranoiden gegoogle. Bei kleinen Shops geht das.

Möglichst auf Rechnung zahlen

Viele Shops bieten die Möglichkeit, per Rechnung, Bankeinzug oder Kreditkarte zu bezahlen. Es steht völlig außer Zweifel, dass die meisten Shop-Betreiber sich auch Mühe geben, die Daten ihrer Kunden zu beschützen. Und doch werden immer wieder Fälle bekannt, in denen Datensätze von Kunden im Web auftauchen oder in Hacker-Foren gehandelt werden.

Abhilfe schafft nur, diese Daten gar nicht erst ins Internet zu bringen. Daher sollten Sie jede Möglichkeit nutzen, vor allem auf Rechnung zu zahlen. Wenn das nicht geht, dann Bankeinzug, Auf Kreditkarte und Vorkasse sollten Sie nur im Notfall zurückgreifen.

Es sei noch angemerkt, dass Shops über die schlechte Zahlungsmoral ihrer Kunden klagen. Es versteht sich also von selbst, rasch und korrekt zu zahlen, damit diese Art der Zahlung – auf Rechnung – uns als Kunden möglichst erhalten bleibt.

Sichere Datenübertragung wählen

Alle Daten, die im Web vom Besucher einer Website zur Website fließen, müssen auf dem Weg dazwischen unsichtbare Zwischenstationen überqueren. Daher ist es wichtig, vertrauliche Daten wie Kontodaten und Kreditkartenummer nur über sichere Wege zu übertragen. Versenden Sie daher niemals Ihre Kontodaten und Kreditkartenummer per E-Mail.

Achten Sie bei der Eingabe dieser Daten auf den Formularseiten eines Shops darauf, dass der Browser die Webadresse mit https:// beginnend zeigt, denn das zusätzliche „s“ steht für eine verschlüsselte („secure“) Datenverbindung.

Zusätzlich zeigt der Browser ein geschlossenes Vorhängeschloss-Symbol. Bietet ein Shop keine sichere Datenübertragung bei der Eingabe Ihrer Kontodaten samt Zahlungsarten – suchen Sie nach dem Stichwort SSL –, dann ist ein anderer Shop unter Umständen ratsamer.

Mehr Details und Screenshots im Beitrag  sichere SSL-Verbindung mit https im Browser erkennen

Sichere Passwörter verwenden

Die meisten Shops versorgen Sie letztlich mit einem Zugang, der aus einem Benutzernamen (oder Ihrer E-Mail-Adresse) und einem Passwort besteht. Wer diese Daten hat, kann in Ihrem Namen einkaufen. Achten Sie daher drauf, ein sicheres Passwort zu wählen. Ein sicheres Passwort ist mindestens zehn Zeichen lang und besteht aus kleinen und großen Buchstaben und einigen Ziffern, also zum Beispiel „PRLsna2410“. Meiden Sie komplette Wörter („sesam“), Bestandteile Ihres Namens, Kosenamen für Partner und Haustiere oder ähnliche Begriffe, denn diese lassen sich erraten und daher leicht knacken.

Siehe auch: Tipps für sichere Kennwörter

Mehrere Passwörter verwenden

Hat ein Hacker ein Konto geknackt, ist er im Besitz eines Passwortes. Wenn ein Einkäufer in jedem Shop dieselben Zugangsdaten verwendet, kann sich ein Hacker theoretisch auch in den anderen Shops Zugang verschaffen.

Abhilfe: Verwenden Sie in jedem Shop ein eigenes, sicheres Passwort und benutzen Sie kein Passwort jemals in zwei Shops gleichzeitig.

Datensparsamkeit wahren

Gehen Sie sparsam mit Ihren Daten um. Einfach gesagt: Was Sie ins Internet reinschreiben, dass lässt sich dort schwer wieder löschen. Ein Shop braucht ganz sicher Ihren Namen, Ihre postalische Adresse für den Versand und Ihre E-Mail-Adresse für eine Kaufbestätigung – mehr persönliche Daten braucht der Shop jedoch nicht. Der Gesetzgeber schreibt in Deutschland auch dem Shop vor, dass er nur solche Daten erheben darf, die für die geschäftliche Transaktion wirklich notwendig sind.

Vorsicht vor social hacking

Niemals wird ein „Mitarbeiter“ eines seriösen Shops bei Ihnen anrufen oder per Mail aus fadenscheinigen, meist „dringenden technischen“ Gründen Ihr Passwort erfragen wollen. Wenn das doch passiert, dann stimmt etwas nicht. Es handelt sich meist um „social hacking“, das ist vereinfacht gesagt folgende Methode: Man fragt ganz dreist das Opfer. (Das funktioniert überraschend oft.)

Dasselbe gilt für Kontonummer, Bankleitzahl, Kreditkartenummern. Kein seriöses Unternehmen wird Sie telefonisch oder Mail auffordern, diese einfach mal durchzugeben. Wir reden hier wohlgemerkt nicht vom Hotel in Venedig, das Sie über Silvester buchen, und das Sie selbst angerufen haben. Sondern von Mails und Anrufen, die „plötzlich“ bei Ihnen eingehen, also ohne dass eine konkrete Handlung Ihrerseits vorausging.

Vorsicht vor Eile, Hetze, Wichtigkeit

Besonderes Misstrauen ist angesagt, wenn die andere Seite – per Mail, am Telefon – bei einer wirtschaftlichen Transaktion es besonders eilig hat, auf Termine verweist, oder mit Konsequenzen droht.

Merke: Wer Sie hetzt, will, dass Sie in der Hetze unbesonnen reagieren. Ich persönlich wimmle dieses ganze angebotsspammende Telefon-Pack inzwischen damit ab, mir ihr Angebot per Brief zu schicken. (Nie kommt eines dieser Angebote. Ich bin denen nicht mal das Porto wert? Dann können die ihren Krempel behalten!)

Vorsicht vor Phishing-Mails

Besondere Vorsicht ist auch angesagt, wenn Mails Sie aus nebulösen Gründen mit Links zu Shops, eBay oder PayPal locken, und Sie direkt nach dem Anklicken des Links auf einer Anmeldeseite landen: Es kann sich dabei um eine Phishing-Attacke handeln, bei der man versucht, Sie mit Hilfe einer täuschend echt aussehenden, aber gefälschten Shop-Webseite dazu zu verführen, Ihre Kontodaten preiszugeben.

Abhilfe: Beginnen Sie Ihren Einkauf stets auf der Hauptseite des Shops, dessen Web-Adresse Sie selbst in die Browserzeile eingeben.

Vorsicht vor verlockenden Weihnachtsangeboten

Neben solchen Phishing-Mails existieren auch Werbemails, die mit besonderen Angeboten zur Weihnachtszeit locken. Überlegen Sie sich besser drei Mal, ob Sie einem unaufgefordert eingegangenen Angebot wirklich folgen wollen, denn seriöse deutsche Shops versenden in der Regel keine unaufgeforderten Angebote an Personen, die nicht bereits Kunden sind.

Werden Sie besonders misstrauisch, wenn es sich um allzu verlockende Trend-Produkte oder Evergreens handelt, zum Beispiel iPhones, iPods und Spielkonsolen zum Spottpreis, oder besonders günstiges Lego oder Playmobil.

Sonstiges

• Checken Sie gelegentlich, ob in Ihrem Shop zusätzliche Versandadressen gespeichert sind.
• Prüfen Sie beim Login, wann Sie das letzte Mal den Shop besucht haben (sofern er diese Angabe herausrückt) und überlegen Sie, ob die Angabe für Sie wirklich stimmen kann.
• Prüfen Sie ab und zu mal, ob das alles stimmt: Haben Sie wirklich alle Produkte gekauft, die Ihnen abgerechnet wurden? Haben Sie alle erhalten? Ich gebe zu, ich bestelle bei Amazon so viele Bücher, dass ich auch mal übersehe, wenn eines nicht kommt…

Wie üblich sind solche Tipps also sehr mühsam. Ich will auch gar nicht behaupten, dass man das erwähnte alles einhalten kann. Aber es geht auch darum, ein Bewusstsein zu schaffen für den schmalen Grad zwischen Abgrund und Bequemlichkeit.

Lokalen Handel unterstützen

Am sichersten shoppen Sie meiner Meinung nach online, indem Sie es gar nicht tun. Der lokale Handel wird es Ihnen danken. Mein persönlicher Tipp ist hierbei, sich unter der Woche einen Vormittag (!) frei zu nehmen und loszuziehen, denn der frühe Vogel fängt den Wurm, die Kaufhäuser sind dann noch leer. Dabei auch noch eine Tasse Kaffee trinken gehen… hach, das Leben kann so schön sein. (Und mich wird nun sicher der gesamte Onlinehandel verklagen.)

Zahlen Sie dann stets bar. Heben Sie vorher Geld ab. Heben Sie es nur dort ab, wo der Automat zu einer Filiale gehört, die schon letztes Jahr dort ihren Sitz hatte. Verdecken Sie mit dem Geldbeutel die Eingabe Ihrer PIN. Berühren Sie nach der Eingabe der PIN mehrfach alle Tasten, um Wärmesensoren darüber zu täuschen, welche Ziffern Sie drückten … naja, man kann es wohl auch übertreiben ;-)

Wort zum Sonntag

Wenn Sie ältere Verwandte haben, die das Web gerade erst für sich entdecken – klären Sie diese sachlich über mögliche Risiken auf. Meine Erfahrung ist, dass Web-Einsteiger entweder naiv oder paranoid sind. Beides ist nicht optimal.

Wenn ich da oben Blödsinn erzähle, oder Sie auch einen guten Tipp haben, bitte ich um einen Kommentar.

Diese Tipps dürfen so, wie sie sind, beliebig verbreitet werden, allerdings unter der Bedingung, dass ein Link zu diesen Post zeigt. Danke!

Ein Blick auf den Win32-/ Facebook-Wurm Koobface.gen!D

Als erstes erhalte ich eine Nachricht bei Facebook. Der Absender ist bereits infiziert, er weiß nichts davon, dass die Mail für ihn geschrieben wurde. Sieht so aus:

Neugierig wie ich bin, klicke ich auf den Link – schließlich ist blogspot.com die Hosting-Website von blogger.com, ergo Google, ergo einigermaßen vertrauenswürdig (wer lacht da?). Das Ergebnis sieht wie folgt aus (aber nur, sofern Javascript aktiviert ist – wenn nicht, zeigt sich eine harmlos uninteressante Blogspot-Seite):

Jetzt sollte man eigentlich schon stutzig werden, denn folgendes ist verdächtig:

• Die Seite ist gar keine blogspot.com-Seite, obwohl doch der Link so tat, als würde er dort hinführen. Achten Sie beim Klick auf Links darauf, dass diese wirklich zum Ziel führen.
• Die Seite tut so, als wäre sie eine YouTube-Seite: YouTube-Look, YouTube-Title-Tag – doch zugleich hat Sie als Favicon (das kleine Icon links von der Webadresse) das Icon von Facebook.
  Außerdem ist YuoTube falsch geschrieben, wahrscheinlich, damit die Markenschutz-Schergen die Seite nicht aus Versehen finden und aktiv werden. Achten Sie auf solche Ungereimtheiten!
  

  Verdächtig: falsches Icon, Schreibfehler

• Der Look ist schlecht gefälscht. (Hätte man besser fälschen können.)
• Die Web-Adresse in der Browser-Adresse-Zeile ist nicht die von YouTube, es ist eine IP-Adresse.
  Merke: Kaum eine ernsthafte seriöse Website verwendet beim Surfen-lassen „IP-Adressen“, also Gruppen von vier Zahlen nach dem http://, sondern die meisten verwenden Namen. Das heißt aber nicht, dass Namen sicher sind. Es heißt nur: Werden Sie misstrauisch, wenn namhafte Markenanbieter ihre Marke nicht zu nutzen scheinen.
  

  Verdächtig: IP-Adresse statt Textadresse

• Der Benutzer „*** SantA ***“, mit Bild eines Babys im Santa-Kostüm, ausgerechnet zur Weihnachtszeit. Merke: Links, die mit „aktuellen“ Themen locken (Terrorismus, Star-Rummel wie Michael Jacksons Tod, aktuelle Medien-Grippe, aktuelle Feste und Feiern), sind gerade deswegen verdächtig. Und welcher User nennt sich Santa – 11 Monate pro Jahr ist das ein unpassender Username. Das passt alles zu gut zusammen, es ist verdächtig synthetisch.
• Die Kommentare suggerieren, es handle sich um einen Knaller, den man unbedingt gesehen haben müsse. Merke: Wann immer man online Druck auf Sie ausübt, sich besonders wichtig macht und Autorität gibt, wann immer irgendetwas schnell passieren muss oder anderweitig höchste Dringlichkeit oder besondere Großartigkeit suggeriert wird, sollten Sie misstrauisch werden. Lassen Sie sich niemals hetzen! Das gilt beim Unterschreiben eines Vertrages in der Wirklichkeit ganz genauso wie im Web.

Was kaum stutzig machen kann, weil es einfach zu raffiniert ist:

• Das Bild: harmlos.
• Das Userprofil: angeblich schon ein Jahr dabei. „Das wäre doch längst aufgefallen, wenn der was böses im Schilde führte.“, könnte man denken. Stimmt auch – wenn es eine echte YouTube-Seite wäre.
• „Frische“ Kommentare suggerieren, andere hätten das Video schon gesehen – also muss damit ja alles in Ordnung sein. Könnte man denken, denn das vom „Web 2.0“ geschulte Auge hat sich daran gewöhnt, andere Surfer sofort als Autorität anzuerkennen und den Autoren von Testimonials zu vertrauen.
  Respekt, das ist wirklich raffiniert!

Aber der wirkliche Hammer kommt ja erst noch: Die Seite schleudert Ihnen nämlich gleich mal eine EXE-Datei entgegen:

Toller Name: setup.exe, das hat man schon hundert Mal gesehen, das sagt alles und nichts. Natürlich könnte man nun Verdacht schöpfen, erschiene dort, wo sich eigentlich ein Video zeigen müsste, nicht folgender Hinweis:

Wow! Raffinierter geht es kaum. Denn klar, das leuchtet Jedem ein, man sieht das Video nicht, weil man ein veraltetes Flash hat. Das passiert ja dauernd, also her mit dem Setup, doppelklicken und schon kann man das tolle Video sehen. Beziehungsweise: seinen Rechner mit Koobface.gen!D infizieren.

Der weise Nutzer – treue Scareware.de-Leser zum Beispiel – scannt natürlich jeden Download, und siehe da, auch Microsoft Security Essentials warnt vor Koobface.gen!D, ein Virus, der immer noch In The Wild ist.

Die Lektion lehrt:

• Misstrauen Sie allen Links, die Ihnen per Mail, Instant Messenger, Nachrichtensysteme auf Webseiten, soziale Medien wie Twitter etc etc. zugeben. Ja, in der Praxis ist das schwer einzuhalten. Aber überlegen Sie vor dem Draufklicken, ob das wirklich sein kann.
• Achten Sie auf Merkmale einer Fälschung oder andere Ungereimtheiten, vor allem auf Webseiten, auf denen Sie ohne triftigen Grund oder mit wenig triftigen Gründen (Mails, Suchmaschinentreffer (Ja, auch die!)) landen.
• Downloaden Sie nichts, es sei denn, Sie sind auf einer vertrauenswürdigen Website, die Sie nur deswegen und ganz bewusst besucht haben, um etwas Downloaden.
• Wenn unaufgeforderte Downloads von selber hochpoppen – nichts wie weg!
• Gehen Sie bei Hinweisen auf Updates stets wie folgt vor: Starten Sie die zu aktualisierende Software und verwenden Sie die Update-Funktion (meist im Hilfe-Menü). Wenn diese nicht existiert, besuchen Sie manuell die Website des Anbieters (hier: Adobe) und downloaden Sie die aktuelle Software nur dort.
• Nach dem Download und VOR dem Start sollten Sie alles, was aus dem Internet kommt, mit einem Virenscanner, besser mit zweien prüfen.
• Allgemein: Siehe die Beiträge im Menü Vorsorge-Plan.
• Und: Kommentare anderer Nutzer sind (leider)) nicht automatisch ein Indiz dafür, dass das Kommentierte „real“ und „in Ordnung“ ist. Im Web ist alles fälschbar: Jede Seite kann wie eine andere aussehen, jeder Kommentar gefälscht sein, jeder User ist potentiell ein Gauner – oder zwar in Ordnung, aber gehackt oder infiziert oder …

(Jetzt wissen Sie, wie man paranoid wird. :)

Links:

• Microsoft zu Koobface.gen!D
• McAfee zu Koobface