Die meisten Viren/Würmer und Trojaner sind zum Befall von Microsoft-Produkten programmiert, denn der Quasi-Monopolist Microsoft bietet viele Angriffspunkte, und ein typischer Malware-Ersteller will so viele Leute wie möglich mit seinen Angriffen erreichen. Es ist daher wirklich wichtig, sich als Nutzer des komfortablen Outlook auch intensiv mit Sicherheitsaspekten zu beschäftigen. Nur nebenbei: Inzwischen kursieren aber auch schon Sicherheitslücken bei "Non-Microsoft"-Produkten, z.B. bei Eudora, Firefox u.a.
Outlook enthält zwar, wie die meisten der Microsoft-Produkte, voreingestellte Komfortfunktionen, die mit Sicherheitseinbußen bezahlt werden. Aber durch sicherheitsbewußtes Verhalten und gezielte Überarbeitung der Outlook-Einstellungen läßt sich die Outlook-Sicherheit wesentlich verbessern. Meiner Meinung nach kann ein abgesichertes Outlook so sicher sein wie irgend ein anderer sicherer Mailclient.
Die aktuellen Windows- und Office-Updates sollte jeder Windows-Anwender unbedingt regelmäßig herunterladen und installieren. Hierbei handelt es sich oft um Patches für Sicherheitslücken. Hat man diese eingepflegt, so ist das schon mal ein großer Sicherheitsgewinn.
In den Outlook-Optionen kann man auf dem Reiterkärtchen Sicherheit
unter
Inhalte sichern
die Sicherheitszone einstellen. Hier sollte man unbedingt die Zone
Eingeschränkte Sites
auswählen. Die Internetfunktionen kann man benutzerdefiniert
einstellen. Unter Eingeschränkte Sites
sollte man einfach alles
deaktivieren!
Wichtig ist es auch, unter dem Outlook-Menü Ansicht
die Vorschaufunktion abzustellen. Dann
können HTML-Codes in E-Mails nicht automatisch ablaufen.
Mit jedem Windows bis XP wurde das Programm Outlook Express gratis mitgeliefert, eine abgespeckte Version von Outlook, die man nach meinen Erfahrungen nicht einfach entfernen oder deinstallieren kann, weil Outlook dann auch nicht mehr läuft. Man sollte aber in Outlook Express ebenfalls alle Funktionen abschalten und alles wasserdicht einrichten, da Viren vielleicht auch mal über Outlook Express funktionieren könnten. Ähnliches dürfte vermutlich für den mit Windows Vista ausgelieferten Nachfolger Windows Mail gelten.
Outlook sollte man so wasserdicht wie möglich einstellen. Dabei ist wohl der Umgang mit Dateianhängen entscheidend. Anhänge sind immer potentiell gefährlich, auch wenn sie von Freunden stammen, da manche E-Mail-Würmer automatisch erzeugte E-Mails mit infizierten Anhängen versenden. Man sollte Dateianhänge nie ungeprüft öffnen. Stattdessen sollte man auf Dateianhänge immer mit der rechten Maustaste klicken. Daraufhin wird ein Kontextmenü eingeblendet, das es ermöglicht, den Anhang zu speichern. Auf diese Weise kann man diesen vor dem Öffnen an einem sicheren Ort abspeichern, mit einem Virenprogramm scannen und evtl. sogar in Word auch noch die Makros abschalten oder den Word Viewer verwenden.
Einer der aktuellen Office-Patches hat dieses Sicherheitsproblem ein für allemal gelöst. Es wurde dafür gesorgt,
daß bestimmte Dateianhänge gar nicht mehr auf den Computer des Empfängers gelangen können, auch wenn es
sich eigentlich um eine erwünschte Datei handelt. Es geht um Dateien mit den Endungen exe
,
com
, bat
und weitere. Um diese wasserdichte Funktion wieder auszuhebeln,
haben sich einige Leute wirklich kluge Gedanken gemacht, die z.B. auf der englischen Website
Slipstick (Rechenschieber)
oder auf der offiziellen
Microsoft-Supportseite
nachzulesen sind.
Die Attachment-Freigabe ist erst ab Outlook 2000 SP3 möglich. Vorgehen:
Start
, Ausführen
,
regedit
eintragen und Enter
drücken)HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Security
navigieren
(oder bei anderer Office-Version ...\9.0\...
)Level1Remove
anlegenDie Utility "Anhangsicherheits-Manager für Outlook" von Smart Tools Publishing soll diese Umstellung automatisiert erledigen.
Diese Schutzfunktionen sollte man aber nur nach wirklich reiflicher Überlegung abschalten. Möglicherweise ist es wesentlich intelligenter, dem Absender zurückzumailen und ihn zu bitten, den betreffenden Anhang als zip-Datei erneut zu senden.
Eine weitere gepatchte Outlook-Funktion ist Outlook Heute anpassen
, wo man die Farbe
und die Seitenaufteilung der Startseite einstellen konnte. Aus Sicherheitsgründen wurde diese Funktion mit
einem der Patches (Wichtiges Update 813489 für Microsoft Internet Explorer
) abgeschaltet.
Seitdem benützen alle das "goldene" Outlook. ;) Doch mit einem Registryeintrag läßt sich auch diese
Sicherheitsfunktion wieder aushebeln. Der Tipp ist auf einer
Microsoft-Supportseite
datailliert beschrieben und auf der Website
WinTotal
sehr anschaulich erklärt. Vorgehen:
Start
, Ausführen
,
regedit
eintragen und Enter
drücken)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
gehenOutlook.exe
anlegen und Bearbeiten und
Ändern
den Wert 1 zuweisenUm die Sicherheitsfunktionen bei Bedarf abschalten und wieder einschalten zu können, habe ich mir
Registry-Schlüssel erstellt und Verknüpfungen dazu im Startmenü angelegt. Zuerst habe ich also
entsprechende Registryschlüssel erstellt und mit der Exportfunktion unter
C:\Programme\Microsoft Office\Office
gespeichert. Dann habe ich dazu im im Startmenü
eine Verknüpfung angelegt, damit ich den Schlüssel mit einem Klick aktivieren kann. Jeweils denselben
Schlüssel habe ich auch mit der Namensergänzung -Wiederherstellen
gespeichert. Mit
Rechtsklick
und Bearbeiten
habe ich in diesen Schlüssel die ursprünglichen
Registry-Einstellungen eingetragen und gespeichert. Nun kann ich die Registry "entsichern", wenn ich eine
exe
-Datei per Mailanhang erwarte, und anschließend auch wiederherstellen.
Die vier Registry-Schlüssel sind hier für Interessierte in einer zip-Datei zum Download bereitgestellt. Bitte beachten: Der Registry-Pfad und andere Pfadangaben müssen ggf. an die eigenen Einstellungen angepaßt werden.
Download als zip-Datei (1,62 KB): registrykeys.zip
Die Dateitypen sollten im Windows Explorer besser nicht ausgeblendet sein. Doch bei Windows ist
unter Extras/Ordneroptionen/Ansicht
die Option "Dateinamenerweiterungen bei bekannten Dateitypen
ausblenden" bzw. "Keine MS-DOS Erweiterungen für registrierte Dateien" voreingestellt. Ein Dateianhang (z.B. ein
Virus) in einer E-Mail mit dem Namen harmlos.txt.exe
wird unter diesen
Umständen als Datei harmlos.txt
dargestellt, denn die Dateiendung exe
ist ja
standardmäßig ausgeblendet und wird somit nicht angezeigt. Punkte mitten im Dateinamen sind seit
Windows 95 erlaubt, was sich viele User nicht bewußtmachen. Also: die Dateitypenausblendung unbedingt deaktivieren!
Achtung: Dateiendungen mit .pif
bleiben bei Windows aber dennoch ausgeblendet! Ein nicht ganz
ungefährlicher Umstand bei Windows, denn pif-Dateien können auch Programme starten. Bei E-Mail-Anhängen heißt
es daher immer: Augen auf! Nicht gleich anklicken!
Firewall und Antivirenprogramm: Heutzutage kann jedermann irgendwelche Schadprogramme aus dem Internet downloaden oder selber basteln. Nur selten gelingt es, die Urheber zu fassen, wie es im Zusammenhang mit den Viren "Sasser" und "Phatbot" geschehen ist. Die Gefahr, durch kriminelle Aktivitäten finanziell geschädigt zu werden, ist inzwischen nicht zu überschätzen. Daher sollte jeder eine Firewall und ein Antivirenprogramm benutzen und diese regelmäßig aktualisieren. Gute Dienste leistet auch ein Programm, mit dem man Spam ausfiltern kann.
Ich bin selber immer noch ein Anhänger des guten alten BIOS-Passwortes. Damit kann man schon vor dem Start des Betriebssystems den Zugriff auf einen Computer verhindern. Der potentielle Cracker müßte dann schon das BIOS knacken. Um ein von manchen BIOS-Herstellern bereitgehaltenes Masterpasswort auszuprobieren oder um den Computer aufzuschrauben und das BIOS auf Hardwareebene zurückzusetzen, braucht man immerhin einige Zeit. Das schreckt möglicherweise schon von einem Einbruch auf dem Computer ab.
Zusammen mit einem BIOS-Passwort kann sogar ein einfacher passwortgeschützter Bildschirmschoner ein Mehr an Sicherheit geben, weil der Bildschirmschoner ja nun nicht mehr durch einen Computer-Neustart umgangen werden kann, wenn Windows ohne Passwortanmeldung gestartet wird.
Wer auf einem Windows-NT-basierten System arbeitet, der sollte für seinen Nutzerbereich einen eingeschränkten User mit Kennwortschutz einrichten. Damit ist der Computer beim Start und bei Anspringen des Bildschirmschoners gesperrt, und wer die Sperrung durch einen Neustart umgehen wollte, müßte sich danach mit Login und Passwort neu anmelden.
Eine kluge Entwicklung ist die Wiedereinführung des Terminals. Wer z.B. in den 80er-Jahren noch an den alten Unix-Kisten oder auch an DOS-Terminals gearbeitet hat, wird darüber lächeln ... Jeder User loggt sich mit seinem Passwort ein und hat nur ganz auf seine Bedürfnisse beschränkten Zugriff auf Programme und Daten, die auf dem Server liegen. Ein Ärgernis ist jedoch die Trägheit der Mausbefehle. Daß man hier seinen eigenen Computer kaum noch konfigurieren darf und kann, wird nur durch das seltene Vergnügen eines Hacks aufgewogen.
Ein Passwort sollte man nicht weitergeben. Und wenn man doch mal jemandem wegen einer wichtigen Angelegenheit sein Passwort genannt hat, sollte man es umgehend ändern. Auch sollte man auf keinen Fall sein Passwort auf einen Zettel notieren und diesen gar an den Bildschirm oder unter die Schreibtischunterlage kleben. Man sollte Passwörter auch hin und wieder ändern. (Der Physiker Feynman hatte schon in den 40er Jahren solche Sicherheitsmängel beobachtet und einigen Schabernack mit seinen Kollegen getrieben. Seine Biographie ist allerdings auch aus anderen Gründen absolut lesenswert.)
Besucher sollten einem bei der Passworteingabe eigentlich nicht konzentriert auf die Finger schauen. Es geht nicht darum, jedem Besucher zu mißtrauen, sondern darum, daß jeder Besucher so höflich sein sollte, die Sicherheitszone einzuhalten. Nur so entsteht ein Klima, in dem Sicherheit des Anderen jeweils respektiert wird. Dann fällt auch derjenige Besucher auf, der Ihr Passwort wirklich ausschnüffeln will.
Man sollte auch - ganz banal - seine Schränke und seine Bürotür hinter sich abschließen.
Hier habe ich versucht, möglichst viele Vorgehensweisen zusammenzustellen, welche die Sicherheit des Computers, des Arbeitsplatzes, der eigenen Daten und auch des eigenen Geldes erhöhen können. Wahrscheinlich ist nicht jede Maßnahme an jedem Ort angebracht. Ein offen zugänglicher Bürocomputer wird sicherlich mit mehr Passwortsicherheit versiegelt, als meine alte Workstation im Keller, auf der ich meine Fotos sammle.