|
|
 |
 |
|
|
|
|
 |
|
|
|
 |
 |
 |
 |
|
|
|
|
| |
Virtuelles Leben - Ist Sicherheit nur eine Illusion? |
|
 |
 |
 |
Virtuelles Leben – Ist Sicherheit nur eine Illusion?
Dieser Artikel richtet sich gleichermaßen an Einsteiger wie auch erfahrene Spieler und soll einen ersten, kurzen Eindruck vermitteln, wie es im digitalen Zeitalter um die Sicherheit bestellt ist. Und da wir eine Spiele-Community sind, stehen selbstverständlich die Accounts eurer Lieblingsspiele im Mittelpunkt der Betrachtung.
Das Problem, welches auch Anstoß für diesen Artikel darstellt, ist so alt wie die Online-Spiele selbst. Immer wieder muss man in den Hersteller- oder Fanforen lesen, dass gefrustete Spieler über einen gehackten Spiel-Account berichten. Das Ausmaß des Schadens variiert von Fall zu Fall und reicht vom Fehlen einzelner Gegenstände oder Spielgeld bis hin zum Verlust der Charaktere oder gar des gesamten Accounts.
Die Hersteller der verschiedenen Spiele begegnen diesem Problem äußerst unterschiedlich. Während bei dem einen Hersteller innerhalb weniger Stunden das gesamtes Hab und Gut wieder hergestellt wird, bekommt man bei einem anderen Hersteller im schlimmsten Fall noch nicht einmal eine Rückantwort.
Der Grund dafür liegt unter anderem in den AGBs verborgen, die jedes Online-Spiel begleiten und die wichtigsten Dinge rund um den angebotenen Dienst regeln. Ja genau, der lange nervige Text, mit dem man meist während der Installation belästigt wird und ungelesen wegklickt. Die meisten Hersteller distanzieren sich bereits in den AGBs von der Handlungspflicht im Falle einer Account-Übernahme durch Dritte. Für die Sicherheit des Accounts wird der Kunde selbst verantwortlich gemacht, der Hersteller gibt für gewöhnlich nur sehr allgemeine Tipps mit auf den Weg, wie der Kunde dies auch erreichen kann. Man findet dann Kommentare wie „Geben sie niemanden Ihren Account-Namen oder Ihr Passwort!“
Klasse! Diese völlig verallgemeinerte Aussage hilft absolut niemandem und ist dennoch 100%ig zutreffend. Nur sollte mehr auf die vielseitigen Möglichkeiten eingegangen werden, wie man anderen diese Daten meist unbewusst mitteilen kann. Dieser Missstand soll hier behandelt und ausgeräumt werden.
„Mir kann so was nicht passieren!“
So etwas liest man immer wieder, wenn es um gehackte Accounts geht. Der Betroffene ist nervlich schon am Boden und wird dann auch noch von "netten" Mitmenschen getreten, die ihm mitteilen, dass er doch eh selbst schuld sei und es daher nicht anders verdient hätte. Ihnen wäre so was niemals passiert, da sie ja die absoluten Pro-Checker sind, was sie auch gleich durch mehr oder minder gute Behauptungen zu untermauern versuchen, die jemandem mit Erfahrung und Ahnung von der Materie nur ein stummes Kopfschütteln abringen können.
Ärgerlich dabei ist vor allem, dass dadurch die wirklich gehaltvollen Hilfeversuche einiger untergehen oder ebenfalls nur noch als „Klugscheißerei“ abgetan werden. Der Betroffene wird häufig schnell zum Angeklagten gemacht und somit in die Situation gebracht, sich verteidigen zu müssen. Das eigentliche Problem wird in den Hintergrund verdrängt und der Frust steigt ins Unermessliche.
OK, ganz unschuldig sind die Betroffenen aber auch nur in den seltensten Fällen. Es ist keine Seltenheit, dass sie sich ihrer Schuld bzw. Fehler zwar bewusst sind, diese aber nicht nennen, weil es ihre Chance auf Hilfe verringern würde. Eine durchaus nachvollziehbare Handlungsweise, die man auch vom Gericht kennt: Man muss sich nicht selbst belasten. Dass dadurch gleichzeitig aber auch die Ursachenfindung und somit auch die Hilfe erschwert, wenn nicht gar unmöglich gemacht wird, wird gerne übersehen.
Niemand ist 100%ig Sicher!
Die Aussage klingt hart, entspricht aber der Realität. Von echter Sicherheit kann man im Bezug auf PCs nur dann sprechen, wenn diese ausgeschaltet sind. Solange sie laufen, existieren potentielle Angriffspunkte, die jegliches Sicherheitskonzept unterlaufen können. Man kann dieses Risiko zwar minimieren, aber nur durch einen entsprechend hohen Aufwand, den erfahrungsgemäß kaum ein Spieler auf sich nehmen möchte. Schließlich hat man anderes im Sinn, als sich mit technischen und auf den ersten Blick meist sehr kompliziert erscheinenden Programmen auseinander zu setzen.
Der Account- bzw. Benutzername
Es ist bei fast allen Online-Diensten, seien es Webseiten oder Spiele, üblich, dass das Anmelden an zwei Bedingungen geknüpft ist. Man muss einen Benutzernamen und ein Passwort eingeben, um den Dienst nutzen zu können. Dieses Vorgehen dient grundsätzlich der Sicherheit, damit nicht jeder uneingeschränkten Zugang zu den Daten einer anderen Person erhalten kann.
Sobald man ein Online-Spiel installiert hat, muss man sich einen Benutzernamen und ein Passwort auswählen, um die Spielwelt betreten zu können. Bei einigen Spielen wird nur eine eMail-Adresse als Benutzername verwendet, bei anderen kann man einen frei wählbaren Namen verwenden. Aber alle Fälle haben eine Gemeinsamkeit: Die verwendeten Namen und Adressen sollten niemanden bekannt sein! Denn kennt jemand den Benutzernamen, gehört ihm schon der halbe Account.
Ja, die Aussage ist etwas überspitzt, denn das Passwort macht einen wesentlich größeren Teil des Sicherheitskonzeptes bei Anmeldungen aus. Aber sobald der Benutzer-/Accountname dem potentiellen Hacker bekannt ist, kann er seine ganze Aufmerksamkeit dem Auffinden des passenden Passwortes widmen.
Daher sollten hier im Idealfall Namen und Adressen eingesetzt werden, die sonst wirklich nirgendwo genutzt werden. Es ist zwar sehr bequem, für alles die selbe eMail-Adresse zu nehmen oder sich Forum den selben Nick zu geben, den man auch als Account-Namen gewählt hat. Aber es ist gleichzeitig auch die größte Dummheit, die man begehen kann, da ihr dem potentiellen Hacker dadurch schon die halbe Anmeldung schenkt.
Es gibt mehr als genug kostenlose eMail-Anbieter (z.B. Freenet, GMX, Arcor, etc), bei denen man jederzeit einen neuen Account einrichten kann. Diese eMail-Adresse ist nur euch bekannt und kann hervorragend für Registrierungen verwendet werden. Es ist halt nur ungemein wichtig, dass diese Adresse danach für keine weiteren Registrierungen verwendet wird und darüber auch keine eMails verschickt werden.
Über sichere Passwörter
Häufig liest man von sicheren Passwörtern, aber was hat es damit eigentlich auf sich? Vielen dürfte dieser Begriff aus verschiedenen Berichten geläufig sein, und dennoch kann man damit nicht sehr viel anfangen, da die Erklärungen fehlen.
Generell sei gesagt, dass sich sichere Passwörter zum einen durch den Einsatz von möglichst vielen unterschiedlichen Zeichen, zum anderen durch ihre Länge auszeichnen. Je komplexer ein Passwort ist, umso schwerer kann es erraten oder geknackt werden. Aber auch hier ist natürlich eine elementare Voraussetzung, dass dieses Passwort nicht mehrmals verwendet wird. Die mehrfache Nutzung von Passwörtern wie auch Benutzernamen erhöht immer das Risiko, dass andere ungewollten Zugang bekommen können.
Hacker nutzen unterschiedliche Werkzeuge, um Passwörter zu knacken. Die einfachste Möglichkeit besteht darin, dass das Opfer sie ihnen einfach mitteilt. Dazu gibt es mehrere Verfahren, die relativ erfolgsversprechend sind, aber auf diese soll erst später eingegangen werden. Eine weitere Möglichkeit stellen Wörterbuch-Attacken dar. Diese arbeiten einfache Textlisten mit häufig verwendeten Passwörtern ab, in der Hoffnung, dass das Opfer eines dieser schlichten Passwörter verwendet. 123456789 oder geheim gehören zu dem Standardarsenal von Wörterbuchattacken, aber es können durchaus auch komplexere Wörter enthalten sein. Prinzipiell alles, was man im Duden findet, eignet sich nicht als Passwort.
BruteForce ist ein Begriff, den man ebenfalls sehr oft in Verbindung mit Hacks liest. Es beschreibt ein Verfahren, bei dem restlos alle Zeichenkombinationen von einem Programm als Passwörter durchprobiert werden (a, aa, ab, ac, ad, …). Und hier kommen wir zum ersten angesprochenen Punkt für sichere Passwörter zurück. Je länger das Passwort ist, umso mehr mögliche Zeichenkombinationen gibt es und somit steigt der Zeitaufwand, um das Passwort zu finden. Kurze Passwörter können binnen weniger Stunden gefunden werden, für lange Passwörter muss ein BruteForce evtl. Wochen, wenn nicht gar Monate oder Jahre laufen.
Diese Zeit kann man zusätzlich erhöhen, indem man möglichst viele unterschiedliche Zeichen verwendet. Es gibt vier Zeichengruppen, die man dabei beachten sollte:
- das kleine Alphabet a-z
- das große Alphabet A-Z
- die Zahlen 0-9
- Sonderzeichen (%&/, etc)
Je mehr dieser Zeichengruppen man verwendet, umso länger würde ein BruteForce Angriff dauern.Das ist zum einen nicht sonderlich gewinnversprechend und bleibt definitiv nicht unbemerkt.
Auf der Webseite von Microsoft findet man einen sehr guten Artikel über sichere Passwörter, den man sich bei dieser Gelegenheit gleich mit ansehen sollte. Darin wird noch einmal sehr anschaulich und leicht verständlich beschrieben, worauf man bei der Wahl eines Passwortes alles achten sollte. Link: Erstellen sicherer Kennwörter
Bekannte Sicherheitslecks im Web
Kommen wir nun zu der unbewussten Weitergabe von Account-Daten. In sehr regelmäßigen Abständen tauchen im Netz Webseiten von Betrügern auf, deren einzige Aufgabe das Sammeln von Account-Daten ist. Die Webseiten kommen fast immer mit einem Design daher, das dem der offiziellen Webseite des Herstellers zum Verwechseln ähnlich sieht. Lediglich die URL in der Adressleiste des Browsers verrät, dass es sich nicht um die offizielle Seite handelt. Aber wem fällt das schon auf.
Um die Wahrscheinlichkeit zu erhöhen, dass wirklich Personen darauf herein fallen, werden unterschiedliche Methoden angewandt. Am beliebtesten ist das Ausnutzen der Gier von Spielern. Durch Gewinnspiele oder Sonderaktionen wird dem Spieler versprochen, bestimmte Dinge oder Vorteile im Spiel zu bekommen. Dafür müsse er nur schnell in die entsprechenden Felder seine Account-Daten eintragen, damit die Sachen im Spiel zugestellt werden können.
MACHT SOWAS NIEMALS! Jeder seriöse Spiele-Hersteller schreibt bereits in seinen AGBs, dass man den Spieler niemals nach seinem Passwort fragen wird, weder per eMail, noch auf Webseiten oder gar direkt im Spiel. Folglich sind alle Seiten oder Quellen, die euch nach eben diesem Passwort fragen, automatisch als illegale Betrugsversuche anzusehen! Nur auf den offiziellen Seiten veröffentlichte Informationen sind tatsächlich zutreffend, alles andere solltet ihr grundsätzlich erstmal nicht glauben.
Eine weitere sehr verbreitete Sicherheitslücke im Web stellen die unzähligen Gildenseiten und –foren dar. Grade größere Gilden oder Allianzen möchten sich natürlich entsprechend präsentieren und erstellen dafür eine eigene Webseite. Um den Aufwand zu minimieren, werden vorgefertigte, frei verfügbare Hilfsmittel wie CMS und/oder Forensoftware eingesetzt. Diese haben leider ein großes Problem: Es tauchen immer wieder Exploits dafür auf, die gezielt Schwachstellen aushebeln, um Zugang zum Server oder auch nur der Datenbank zu erhalten. Und in eben jener Datenbank sind die Benutzerdaten der Mitglieder gespeichert, sobald sie sich auf der Seite registriert haben.
Klar, wer sich an die oben genannten Dinge gehalten hat, braucht hier nichts zu befürchten, die Vergangenheit hat aber schon mehrfach gezeigt, dass eben doch sehr viele Spieler im Forum im schlimmsten Fall komplett die selben Login-Daten verwendet haben wie auch für das Spiel. Dies ist eine sehr häufige Variante, wie potentielle Hacker an die Account-Daten kommen. Der Aufwand wird so für den Hacker minimal.
Bei den Foren und CMS kommt es aber auch auf den Administrator an. Wenn er immer die aktuellen Versionen aufspielt, reduziert er schon das grundsätzliche Risiko, dass der Server oder die Datenbank von Unbefugten gelesen oder gar übernommen werden können. Dies sollte der Administrator in jedem Fall beachten.
Sicherheitslücken auf dem eigenen PC
Wer kennt nicht den Spruch: „Das größte Sicherheitsrisiko sitzt 50cm vor dem Bildschirm!“
Die meisten Sicherheitslücken erfordern die Interaktion des Benutzers, sonst könnten sie gar nicht erst ausgenutzt werden. Allerdings sind die möglichen Angriffsziele so vielfältig, dass sich wirklich niemand sicher sein kann, nichts falsch zu machen.
Eine elementare Regel besagt, dass man niemals Dateien aus einem unbekannten Quellen vertrauen soll. eMails von unbekannten Absendern sollten am besten ungelesen gelöscht werden. Betrüger machen sich gern die Mühe, eMails ein offizielles Erscheinungsbild zu verpassen. Aber warum sollte euch ein Hersteller Dateien per eMail schicken? Und dass der Hersteller niemals nach dem Passwort fragen wird, wurde ja bereits geklärt.
Was viele vielleicht nicht wissen ist, dass vor allem ausführbare Programme verseucht sein können. Sie können als Träger für Viren oder Trojaner verwendet werden, was man jedoch häufig erst dann bemerkt, wenn es schon zu spät ist. Außerdem werden neue oder sehr spezialisierte Schädlinge meistens nicht von Virenscannern erkannt, zumindest in der Anfangsphase ihrer Verbreitung. Also niemals Dateien von unbekannten Quellen benutzen. Am besten geht man immer auf die Seite des Herstellers des Programms, so geht man auf Nummer sicher.
Schädlinge kann man sich auch sehr leicht durch den Besuch fraglicher Webseiten einfangen. Man sollte grundsätzlich davon ausgehen, dass alle Webseiten, die einem pornografisches Material, Cheats, Cracks, Hacks und sonstige illegale Inhalte zur Verfügung stellen, dies nicht ganz uneigennützig machen. Vom Benutzer unbemerkt versuchen diese Webseiten in der Regel nämlich auch gleich, bekannte Sicherheitslücken in den Browsern zu nutzen, um Schädlinge auf dem Rechner zu installieren. Der Besuch solcher Seiten kann also schnell zu einem bösen Erwachen führen.
Den PC absichern
Die Absicherung fängt bereits beim Zugang zum Internet an. Betriebssysteme haben immer offene Ports (vergleichbar mit offenen Türen), auf denen sie nach Befehlen für verschiedene Dienste lauschen. Diese können leicht Ziel von Angriffen werden und dem Angreifer einen Zugang zum PC bieten.
Wird die Internetverbindung direkt vom Betriebssystem hergestellt, sind automatisch alle offenen Ports vom Internet aus erreichbar. Dies kann man durch den Einsatz einer Firewall verhindern, wobei es hier zwei verschiedene Ansätze gibt.
Eine Software-Firewall wird direkt auf dem Rechner installiert und kontrolliert fortan alle eingehenden und ausgehenden Verbindungen. Stellt es eine unautorisierte Verbindung fest, wird diese unterbrochen und geblockt. Der Benutzer kann dann individuell für jede Verbindung entscheiden, ob er sie zulassen und verweigern möchte. Dies führt jedoch manchmal zu Problemen, wenn man ein Programm aktualisiert und anschließend wieder ins Internet will. Die Firewall erkennt die Änderung an dem Programm und blockt es vorsichtshalber erstmal, bis der Benutzer es wieder freigibt. Und Updates sind bei Online-Spielen nun wirklich keine Seltenheit.
Eine zweite Möglichkeit ist eine Hardware-Firewall oder auch nur ein einfacher Hardware-Router. Router haben einen entscheidenden Vorteil: Auf ihnen läuft nur eine handvoll Dienste, die für den Betrieb unverzichtbar sind. Alle anderen Ports sind grundsätzlich geschlossen. Startet nun jemand eine Attacke, wird nicht mehr der Rechner attackiert, sondern der Router. Und auf diesem kann vergleichsweise wenig Schaden angerichtet werden.
Ein weiterer Punkt ist Aktualität. Das verwendete Betriebssystem sowie alle Programme sollten nach Möglichkeit immer auf dem aktuellsten Stand sein, um möglichst wenig Angriffsfläche zu bieten. Es kommen nicht ohne Grund ständig neue Versionen raus ;-)
Grade bei Browsern ist dies sehr wichtig. Allen voran der Internet Explorer, aber auch seine Konkurrenten haben immer wieder neue Sicherheitslücken, über die Schädlinge auf den Rechner eingeschleust werden können. Der Browser Firefox zeichnet sich dabei durch eine schnelle Fehlerbehebung besonders aus. Updates werden direkt nach Veröffentlichung über ein integriertes Updatesystem bereitgestellt und können zeitnah installiert werden.
Um die Sicherheit des Browsers weiter zu erhöhen, kann man von verschiedenen Features Gebrauch machen. Das deaktivieren von Scripten beispielsweise kann schon erheblich zur Sicherheit beitragen, da dadurch eine sehr große Angriffsfläche auf einen Schlag ausgeschaltet wird.
Virenscanner können noch einen weiteren Sicherheitsgewinn darstellen. Es gibt viele unterschiedliche Scanner, einige sind kostenfrei erhältlich, andere sind relativ teuer. Die Entscheidung, welchen man einsetzt, sollte jeder für sich selbst treffen.
Diese Liste könnte noch lange erweitert werden, aber fürs erste sollte dies reichen. Wer sich tiefer mit dem Thema beschäftigen möchte, sollte sich auf entsprechenden Seiten umsehen.
Fazit:
Wenn man das Thema mal ein wenig durchleuchtet, so erkennt man schnell, warum sich die meisten Hersteller von der Handlungspflicht im Falle einer Account-Übernahme durch Dritte distanzieren. Die Hersteller haben keinerlei Einfluss auf die Handlungen der Benutzer, und ob nun unbewusst oder absichtlich, die Sicherheit ist letztlich wirklich immer abhängig von der Person und ihrem Handeln. Kein System kann eine 100%ige Sicherheit garantieren, da es immer irgendwelche Schwachstellen oder Bugs gibt. Somit liegt die Verantwortung für die Sicherheit beim Anwender und ist maßgebend davon abhängig, wie und wofür der Anwender seine Programme nutzt bzw. wie sorgfältig er mit seinen Daten umgeht.
Letztlich bewahrheitet sich die anfängliche Aussage, dass aus dem Betroffenen der Angeklagte gemacht wird, denn einen anderen Schluss lässt die ganze Sachlage kaum zu. Aber vielleicht ist es auch nur eine Sache des Blickwinkels, und den Anwender trifft wirklich keine Schuld?
|
|
|
 |
|
|
|
|
| Was ist euer liebster PvP-Modus |
|
 |
|
Portal
