Diese Mitteilung ist auch online abrufbar unter: http://www.siug.ch/presse/Presse.20040330.txt PRESSEMITTEILUNG der Swiss Internet User Group (SIUG) Montag, 29. März 2004 Stellungnahme der Swiss Internet User Group zum "Kassensturz"-Beitrag über die Sicherheit von Breitband-Internetanschlüssen Der Beitrag des Kassenturz "Sicherheitslücken im Internet: Freier Zugang auf private Daten" (SF DRS, 2. März 2004, [1]) sowie die Stellungnahme dazu in der NZZ ("Zuschrift Provider sollen Verantwortung übernehmen", NZZ vom 19. März 2004, [2]) können Providerkunden zu falschen Schlüssen verleiten. Wie der Kassensturz richtig festgestellt hat, ist die Sicherheitssituation bei vielen Computern von Internetbenutzern unbefriedigend. Die Verantwortung für den Betrieb eines PCs über eine Breitbandanbindung lässt sich jedoch nicht auf die Provider alleine abschieben. Nach Ansicht der SIUG sind nicht nur die Provider, sondern auch die Softwarehersteller und vor allem die Kunden in der Pflicht. Verantwortung der Provider Viele Providerkunden sind sich der möglichen Gefahren nicht bewusst, denen sie sich durch den Anschluss ihres PCs an das Internet aussetzen. Aus Sicht der SIUG ist es begrüssenswert, wenn Provider eindringlich auf die Risiken sowie auf mögliche durch die Kundschaft zu treffenden Massnahmen und weitere Informationsquellen hinweisen würden. Wenig sinnvoll ist nach Ansicht der SIUG der forcierte Vertrieb von NAT-Geräten. Network Address Translation (NAT) ist für Privathaushalte interessant, weil sie damit mit mehreren PCs gleichzeitig eine einzelne IP-Adresse benützen können. Es trifft zwar zu, dass gewisse Viren und Spionierer aus technischen Gründen an dieser Hürde scheitern, dies ist jedoch bestenfalls ein Nebeneffekt von NAT. Leider wird in der Berichterstattung des Kassensturz verschwiegen, dass auch mit NAT gravierende Sicherheitslücken offen bleiben, so z.B. für Viren und Würmer, die sich über Webseiten, per E-Mail über Filesharingtools usw. verbreiten. Sämtliche aktuellen Viren (Netsky, Bagle, Mydoom) fallen in diese Kategorie. NAT-Router können deshalb bezüglich Sicherheitsfragen keinesfalls die sorgfältige Konfiguration der an das Internet angeschlossenen Geräte und die Schulung der Benutzer ersetzen. Verantwortung der Softwarehersteller Softwarehersteller sollten nach Ansicht der SIUG ihren Teil der Verantwortung tragen, indem sie ihre Software im Hinblick auf mögliche Sicherheitsrisiken testen und die Benutzerführung so gestalten, dass die Benutzer die Folgen ihrer Handlungen abschätzen können. Ebenfalls sollten Softwarehersteller so schnell wie möglich einfach zu installierende Updates bereitstellen, wenn sicherheitsrelevante Programmierfehler entdeckt werden. Diese Anforderungen werden leider auch von marktführenden Programmen nicht erfüllt. So kann bereits ein einzelner falscher Mausklick zur Installation eines Virus oder eines Spionageprogramms führen. Obschon Internetbenutzer nicht direkt in die Geschäftspraktiken von Softwareunternehmen eingreifen können, ist es ihnen doch möglich, problemanfällige Programme durch sicherere Alternativen zu ersetzen. Die SIUG empfiehlt zum Beispiel die Verwendung von Alternativen wie zum Beispiel Mozilla [3] anstelle von Microsoft Internet Explorer und Microsoft Outlook Express. Verantwortung der Internetbenutzer Die Verantwortung für den Betrieb eines PCs liegt letztlich beim Anwender. Unverantwortlicher Umgang mit dem eigenen PC hat auch Auswirkungen auf unbeteiligte Dritte. Sicherheit kann nicht durch eine einmalige Massnahme erreicht werden. Verantwortungsvolle Benutzer überprüfen regelmässig die Situation und halten sich via Internet (z.B. Webseiten des Programmherstellers) regelmässig auf dem Laufenden. Dabei sollte man auch nachinstallierte Software (Office-Programme, Instant Messenger etc.) nicht vergessen. So sollten Internetbenutzer zum Beispiel beachten: - Nur Programme installieren, die man wirklich braucht und von denen man weiss, welchem Zweck sie dienen. Höchste Vorsicht ist bei E-Mailanhängen und Downloads aus nicht voll vertrauenswürdigen Quellen aus dem Internet geboten. - Software nur von seriösen Quellen beziehen, auf den Webseiten des Herstellers veröffentlichte Updates (Bugfixes) sofort installieren. Keinesfalls sollte man aber "Updates" installieren, die unverlangt per Mail zugesandt werden, da es sich dabei fast sicher um Viren handelt. - Nicht als Administrator arbeiten, sondern für den alltäglichen Gebrauch einen Benutzer mit weniger Rechten einrichten. Für alle Benutzer unterschiedliche Passwörter vergeben. - Laufwerke nur dann freigeben, wenn es unbedingt nötig ist, und dann auf jeden Fall mit einem Passwort schützen. PCs können sowohl mit als auch ohne NAT sicher betrieben werden. Unabdingbar ist aber auf jeden Fall, dass die PC-Benutzer ihre Verantwortung wahrnehmen und sich mit den möglichen Sicherheitsrisiken beschäftigen. Über die SIUG Die SIUG Swiss Internet User Group engagiert sich für Themen, welche die Nutzung des Internets kurz- bis langfristig betreffen: Fragen des Datenschutzes und von Grundrechten im Netz, Rechtsfragen (zum Beispiel Urheberrecht und Software-Patente), Kampf gegen Netzmissbrauch, sowie um Belange des Konsumentenschutzes im Internet. Der SIUG gehören InternetbenutzerInnen, ZugangsanbieterInnen und InhaltsgestalterInnen an, die sich für einen verantwortungsvollen und konstruktiven Umgang mit dem Medium Internet einsetzen. SIUG-Mitglied werden Damit wir gemeinsam etwas bewirken können, sind wir auf aktive und finanzielle Hilfe angewiesen. Unterstützen Sie die Ziele der SIUG? Dann werden Sie jetzt Mitglied. Für nur 20 Franken pro Jahr sind Sie dabei. Informationen und Anmeldung unter http://www.siug.ch/about/mitglieder/