Chactorys Homepage

Über Computer-Sicherheit

Sicherheitsaspekte von Outlook

Die meisten Viren/Würmer und Trojaner sind zum Befall von Microsoft-Produkten programmiert, denn der Quasi-Monopolist Microsoft bietet viele Angriffspunkte, und ein typischer Malware-Ersteller will so viele Leute wie möglich mit seinen Angriffen erreichen. Es ist daher wirklich wichtig, sich als Nutzer des komfortablen Outlook auch intensiv mit Sicherheitsaspekten zu beschäftigen. Nur nebenbei: Inzwischen kursieren aber auch schon Sicherheitslücken bei "Non-Microsoft"-Produkten, z.B. bei Eudora, Firefox u.a.

Outlook enthält zwar, wie die meisten der Microsoft-Produkte, voreingestellte Komfortfunktionen, die mit Sicherheitseinbußen bezahlt werden. Aber durch sicherheitsbewußtes Verhalten und gezielte Überarbeitung der Outlook-Einstellungen läßt sich die Outlook-Sicherheit wesentlich verbessern. Meiner Meinung nach kann ein abgesichertes Outlook so sicher sein wie irgend ein anderer sicherer Mailclient.

Die aktuellen Windows- und Office-Updates sollte jeder Windows-Anwender unbedingt regelmäßig herunterladen und installieren. Hierbei handelt es sich oft um Patches für Sicherheitslücken. Hat man diese eingepflegt, so ist das schon mal ein großer Sicherheitsgewinn.

In den Outlook-Optionen kann man auf dem Reiterkärtchen Sicherheit unter Inhalte sichern die Sicherheitszone einstellen. Hier sollte man unbedingt die Zone Eingeschränkte Sites auswählen. Die Internetfunktionen kann man benutzerdefiniert einstellen. Unter Eingeschränkte Sites sollte man einfach alles deaktivieren!

Wichtig ist es auch, unter dem Outlook-Menü Ansicht die Vorschaufunktion abzustellen. Dann können HTML-Codes in E-Mails nicht automatisch ablaufen.

Mit jedem Windows bis XP wurde das Programm Outlook Express gratis mitgeliefert, eine abgespeckte Version von Outlook, die man nach meinen Erfahrungen nicht einfach entfernen oder deinstallieren kann, weil Outlook dann auch nicht mehr läuft. Man sollte aber in Outlook Express ebenfalls alle Funktionen abschalten und alles wasserdicht einrichten, da Viren vielleicht auch mal über Outlook Express funktionieren könnten. Ähnliches dürfte vermutlich für den mit Windows Vista ausgelieferten Nachfolger Windows Mail gelten.

Eine E-Mail schicken

Anhangsbehandlung bei Outlook

Outlook sollte man so wasserdicht wie möglich einstellen. Dabei ist wohl der Umgang mit Dateianhängen entscheidend. Anhänge sind immer potentiell gefährlich, auch wenn sie von Freunden stammen, da manche E-Mail-Würmer automatisch erzeugte E-Mails mit infizierten Anhängen versenden. Man sollte Dateianhänge nie ungeprüft öffnen. Stattdessen sollte man auf Dateianhänge immer mit der rechten Maustaste klicken. Daraufhin wird ein Kontextmenü eingeblendet, das es ermöglicht, den Anhang zu speichern. Auf diese Weise kann man diesen vor dem Öffnen an einem sicheren Ort abspeichern, mit einem Virenprogramm scannen und evtl. sogar in Word auch noch die Makros abschalten oder den Word Viewer verwenden.

Einer der aktuellen Office-Patches hat dieses Sicherheitsproblem ein für allemal gelöst. Es wurde dafür gesorgt, daß bestimmte Dateianhänge gar nicht mehr auf den Computer des Empfängers gelangen können, auch wenn es sich eigentlich um eine erwünschte Datei handelt. Es geht um Dateien mit den Endungen exe, com, bat und weitere. Um diese wasserdichte Funktion wieder auszuhebeln, haben sich einige Leute wirklich kluge Gedanken gemacht, die z.B. auf der englischen Website Slipstick (Rechenschieber) oder auf der offiziellen Microsoft-Supportseite nachzulesen sind.

Die Attachment-Freigabe ist erst ab Outlook 2000 SP3 möglich. Vorgehen:

Die Utility "Anhangsicherheits-Manager für Outlook" von Smart Tools Publishing soll diese Umstellung automatisiert erledigen.

Diese Schutzfunktionen sollte man aber nur nach wirklich reiflicher Überlegung abschalten. Möglicherweise ist es wesentlich intelligenter, dem Absender zurückzumailen und ihn zu bitten, den betreffenden Anhang als zip-Datei erneut zu senden.

Outlook Heute anpassen

Eine weitere gepatchte Outlook-Funktion ist Outlook Heute anpassen, wo man die Farbe und die Seitenaufteilung der Startseite einstellen konnte. Aus Sicherheitsgründen wurde diese Funktion mit einem der Patches (Wichtiges Update 813489 für Microsoft Internet Explorer) abgeschaltet. Seitdem benützen alle das "goldene" Outlook. ;) Doch mit einem Registryeintrag läßt sich auch diese Sicherheitsfunktion wieder aushebeln. Der Tipp ist auf einer Microsoft-Supportseite datailliert beschrieben und auf der Website WinTotal sehr anschaulich erklärt. Vorgehen:

Download der Registry-Schlüssel

Um die Sicherheitsfunktionen bei Bedarf abschalten und wieder einschalten zu können, habe ich mir Registry-Schlüssel erstellt und Verknüpfungen dazu im Startmenü angelegt. Zuerst habe ich also entsprechende Registryschlüssel erstellt und mit der Exportfunktion unter C:\Programme\Microsoft Office\Office gespeichert. Dann habe ich dazu im im Startmenü eine Verknüpfung angelegt, damit ich den Schlüssel mit einem Klick aktivieren kann. Jeweils denselben Schlüssel habe ich auch mit der Namensergänzung -Wiederherstellen gespeichert. Mit Rechtsklick und Bearbeiten habe ich in diesen Schlüssel die ursprünglichen Registry-Einstellungen eingetragen und gespeichert. Nun kann ich die Registry "entsichern", wenn ich eine exe-Datei per Mailanhang erwarte, und anschließend auch wiederherstellen.

Die vier Registry-Schlüssel sind hier für Interessierte in einer zip-Datei zum Download bereitgestellt. Bitte beachten: Der Registry-Pfad und andere Pfadangaben müssen ggf. an die eigenen Einstellungen angepaßt werden.

Download als zip-Datei (1,62 KB): registrykeys.zip

Dateitypen von Windows

Die Dateitypen sollten im Windows Explorer besser nicht ausgeblendet sein. Doch bei Windows ist unter Extras/Ordneroptionen/Ansicht die Option "Dateinamenerweiterungen bei bekannten Dateitypen ausblenden" bzw. "Keine MS-DOS Erweiterungen für registrierte Dateien" voreingestellt. Ein Dateianhang (z.B. ein Virus) in einer E-Mail mit dem Namen harmlos.txt.exe wird unter diesen Umständen als Datei harmlos.txt dargestellt, denn die Dateiendung exe ist ja standardmäßig ausgeblendet und wird somit nicht angezeigt. Punkte mitten im Dateinamen sind seit Windows 95 erlaubt, was sich viele User nicht bewußtmachen. Also: die Dateitypenausblendung unbedingt deaktivieren! Achtung: Dateiendungen mit .pif bleiben bei Windows aber dennoch ausgeblendet! Ein nicht ganz ungefährlicher Umstand bei Windows, denn pif-Dateien können auch Programme starten. Bei E-Mail-Anhängen heißt es daher immer: Augen auf! Nicht gleich anklicken!

Security-Software

Firewall und Antivirenprogramm: Heutzutage kann jedermann irgendwelche Schadprogramme aus dem Internet downloaden oder selber basteln. Nur selten gelingt es, die Urheber zu fassen, wie es im Zusammenhang mit den Viren "Sasser" und "Phatbot" geschehen ist. Die Gefahr, durch kriminelle Aktivitäten finanziell geschädigt zu werden, ist inzwischen nicht zu überschätzen. Daher sollte jeder eine Firewall und ein Antivirenprogramm benutzen und diese regelmäßig aktualisieren. Gute Dienste leistet auch ein Programm, mit dem man Spam ausfiltern kann.

Verwendung von Passwörtern

Ich bin selber immer noch ein Anhänger des guten alten BIOS-Passwortes. Damit kann man schon vor dem Start des Betriebssystems den Zugriff auf einen Computer verhindern. Der potentielle Cracker müßte dann schon das BIOS knacken. Um ein von manchen BIOS-Herstellern bereitgehaltenes Masterpasswort auszuprobieren oder um den Computer aufzuschrauben und das BIOS auf Hardwareebene zurückzusetzen, braucht man immerhin einige Zeit. Das schreckt möglicherweise schon von einem Einbruch auf dem Computer ab.

Zusammen mit einem BIOS-Passwort kann sogar ein einfacher passwortgeschützter Bildschirmschoner ein Mehr an Sicherheit geben, weil der Bildschirmschoner ja nun nicht mehr durch einen Computer-Neustart umgangen werden kann, wenn Windows ohne Passwortanmeldung gestartet wird.

Wer auf einem Windows-NT-basierten System arbeitet, der sollte für seinen Nutzerbereich einen eingeschränkten User mit Kennwortschutz einrichten. Damit ist der Computer beim Start und bei Anspringen des Bildschirmschoners gesperrt, und wer die Sperrung durch einen Neustart umgehen wollte, müßte sich danach mit Login und Passwort neu anmelden.

Eine kluge Entwicklung ist die Wiedereinführung des Terminals. Wer z.B. in den 80er-Jahren noch an den alten Unix-Kisten oder auch an DOS-Terminals gearbeitet hat, wird darüber lächeln ... Jeder User loggt sich mit seinem Passwort ein und hat nur ganz auf seine Bedürfnisse beschränkten Zugriff auf Programme und Daten, die auf dem Server liegen. Ein Ärgernis ist jedoch die Trägheit der Mausbefehle. Daß man hier seinen eigenen Computer kaum noch konfigurieren darf und kann, wird nur durch das seltene Vergnügen eines Hacks aufgewogen.

Ein Passwort sollte man nicht weitergeben. Und wenn man doch mal jemandem wegen einer wichtigen Angelegenheit sein Passwort genannt hat, sollte man es umgehend ändern. Auch sollte man auf keinen Fall sein Passwort auf einen Zettel notieren und diesen gar an den Bildschirm oder unter die Schreibtischunterlage kleben. Man sollte Passwörter auch hin und wieder ändern. (Der Physiker Feynman hatte schon in den 40er Jahren solche Sicherheitsmängel beobachtet und einigen Schabernack mit seinen Kollegen getrieben. Seine Biographie ist allerdings auch aus anderen Gründen absolut lesenswert.)

Besucher sollten einem bei der Passworteingabe eigentlich nicht konzentriert auf die Finger schauen. Es geht nicht darum, jedem Besucher zu mißtrauen, sondern darum, daß jeder Besucher so höflich sein sollte, die Sicherheitszone einzuhalten. Nur so entsteht ein Klima, in dem Sicherheit des Anderen jeweils respektiert wird. Dann fällt auch derjenige Besucher auf, der Ihr Passwort wirklich ausschnüffeln will.

Man sollte auch - ganz banal - seine Schränke und seine Bürotür hinter sich abschließen.

Das ist doch alles überflüssig!

Hier habe ich versucht, möglichst viele Vorgehensweisen zusammenzustellen, welche die Sicherheit des Computers, des Arbeitsplatzes, der eigenen Daten und auch des eigenen Geldes erhöhen können. Wahrscheinlich ist nicht jede Maßnahme an jedem Ort angebracht. Ein offen zugänglicher Bürocomputer wird sicherlich mit mehr Passwortsicherheit versiegelt, als meine alte Workstation im Keller, auf der ich meine Fotos sammle.