Aus dem Internet heruntergeladene Software – für die einen riskantes Teufelszeug, für andere aus dem Alltag nicht mehr wegzudenken. Durch Botnetze, durch Bundes- und sonstige Trojaner und die Aktivitäten der Schlapphüte aller Länder entsteht zusätzliche Unsicherheit: Kann man der heruntergeladenen Software trauen? Oder ist sie grundsätzlich manipuliert, „verseucht“, böswillig und datenhungrig?
Updates und Kaufsoftware sind ja OK…
Dass sich Betriebssysteme und Virenscanner Updates via Internet besorgen, ist mittlerweile Standard und ausgesprochen sinnvoll. Aber natürlich „wissen“ diese Programme ja, wer ihr Heimatserver ist und wem sie vertrauen dürfen – Zertifikate und Verschlüsselung sorgen hier dafür, dass Manipulationen nicht ohne weiteres möglich sind. Und der Nutzen übersteigt das Restrisiko bei weitem: Mit einem veralteten Betriebssystem- oder Virenscanner-Stand sollte kein Rechner in irgendeinem Netz unterwegs sein.
Unterdessen verwenden auch viele Software-Hersteller das Internet als Software-Spedition: Wenn man Software kauft, ist das oft keine Schachtel mehr mit DVD und Handbuch, sondern man erhält per E-Mail die Lizenznummer, die als Software-Schlüssel dient – die passende Software und Dokumentation saugt man dann per Internet und entsperrt sie mit dem zuvor gekauften Schlüssel. Praktisch, weil umwelt- und ressourcenschonend und weil die Software immer auf dem aktuellen Stand ist. Aber auch hier gilt das gleiche wie bei Betriebssystemen und Virenschutz: Der Download kommt von einer geschlossenen und relativ sicheren Plattform, das Risiko ist gering.
Aber was ist mit praktischen kleinen Helfern (etwa den „Sysinternals“-Tools, auf die kein Windows-Admin verzichten mag), oder leistungsfähigen Open-Source-Softwarepaketen, oder innovativen neuen Programmen? Vieles und vor allem Aktuelles gibt es praktisch ausschließlich im Netz. Und hier scheiden sich oft die Geister, mit den Extrempositionen „Warum denn nicht, was soll schon passieren?“ und „Ich lade nichts aus dem Netz!“.
…aber alles andere?
Spätestens aber, wenn zu Weihnachten ein Smartphone unter dem Weihnachtsbaum lag, stellt sich die Frage neu – und die Antwort fällt viel pragmatischer aus: Ohne entsprechende Apps fehlen den Smartphones und Tablets einfach wichtige Funktionen, um nützlich zu sein oder Spaß zu machen. Und auch der klassische PC profitiert von vielen Dingen, die es nur als Download gibt. Aber woher weiß ich, dass ich dem Server, dem Anbieter vertrauen kann? Gewiss, microsoft.com wird schon irgendwie sicher sein – auch bei Apple und Google werden sich keine überraschenden Risiken ergeben, aber dann? Schon in den App-Stores findet sich manchmal Zweifelhaftes. Und woher bekomme ich zum Beispiel den aktuellen Firefox? Bei www.firefox.com? Ja, denn diese URL wird auf die richtige Adresse umgeleitet: https://www.mozilla.org/de. Jedoch nicht bei www.firefox.de! Und auch nicht unbedingt bei der Adresse, die in der Suchmaschine ganz oben steht.
Leider nur Tipps und kein Patentrezept
Auf dem Unternehmens-PC ist die Sache einfach: Hier gibt es einen Administrator, der zuständig ist und sich kümmert. Das Installieren zusätzlicher Software ist meistens gar nicht erlaubt und in diesem Umfeld auch keine gute Idee.
Aber was ist mit dem privaten PC, was mit Smartphone & Co.? Nur die wenigsten werden in der vorteilhaften Lage sein, dass sie auch zu Hause einen privat-Admin haben, der das Software-Management besorgt. Und wenn ich mein eigener Admin bin: woher weiß ich, welches Download-Portal, welcher App-Store sicher ist? Welche Software gut ist, und um welche ich besser einen weiten Bogen mache? Speziell für die letztere Gruppe gibt es keine klaren Kriterien, und „potentially unwanted programs“ werden auch vom Viren- / Malwareschutz nicht unbedingt entdeckt, sie haben eben nur praktisch keinen Nutzen, dafür aber mehr oder weniger ausgeprägte Schadfunktionen.
Wie also schaffen es die Kollegen und Freunde, Programme herunterzuladen und zu installieren, ohne dass ihr Rechner lahmgelegt wird, oder ihre Daten in die weite Welt geschickt werden? Und wie „schaffen“ es andere, dass ihr Browser schon mit dem ersten Download gehijacked wird? Hier nach einer kleinen Umfrage im Kollegen- und Freundeskreis die individuellen Strategien und Praxistipps gegen Downloadfallen:
- Tausche dich mit Kollegen / Freunden über gute und schlechte Programme aus. Überlege, ob du die Software wirklich brauchst.
- Prüfe das Produkt in der Suchmaschine deiner Wahl: Ist es als Spyware, Browser-Hijacker, Virus, Trojaner oder wegen totaler Nutzlosigkeit auffällig geworden?
- Verwende eine vertrauenswürdige Quelle – seien es die Herstellerportale / App-Stores, renommierte Computerzeitschriften (etwas das Heise Software-Verzeichnis), oder der originale Anbieter / Hersteller / Programmierer der Software. Prüfe die Quelle (was nicht immer leicht ist), beim geringsten Zweifel an der Quelle: Nicht von dort installieren. Wikipedia oder Suchmaschine helfen, den Originalanbieter / Hersteller herauszufinden.
- Prüfe den Download auf Viren (ja, geschieht eigentlich automatisch… tue es trotzdem). Lade sie dazu auf die Festplatte herunter, statt den Installer direkt von der Website zu starten, was zusätzliche Sicherheit bringt.
- Regelmäßige Backups helfen, wieder auf einen funktionierenden und sauberen Stand zu kommen, wenn man sich doch mal einen Schädling eingefangen hat. Bei Windows: vor der Installation einen Wiederherstellungspunkt erstellen!
- Ach ja, und: Lies bevor du klickst. Wer ungelesen einfach auf „Install“, „Weiter“ oder „Next“ klickt, handelt sich leicht auf dem dritten oder vierten Fenster der Installation eine Toolbar ein.
Besonders bei Apps auf Smartphone und Tablet:
- Prüfe, welche Rechte die App haben möchte, und überlege, ob du sie ihr erteilen möchtest – im Zweifel: Recht nicht einräumen und / oder App deinstallieren.
- Sei auf der Hut: Je verlockender die Gratis-App, desto höher ist die Wahrscheinlichkeit, dass in Wirklichkeit du oder deine Daten der Preis sind.
Was freilich kein DIY-Admin gerne zugibt: Fast jeder ist schonmal ist Fettnäpfchen getreten und hat sich mit einem unüberlegten Klick oder einem dubiosen „Update“ Schadsoftware auf den Rechner geholt. Je später man das bemerkt, desto aufwändiger werden die Reparaturmaßnahmen, manchmal hilft nur das Neuaufsetzen des Systems.
Das praktischste wäre natürlich eine Betriebssystem-Kollektion, mit der man zusätzliche Anwendungen und Programmpakete direkt nachinstallieren kann, ohne auf „fremden“ Servern zu suchen. Am besten sogar in einer ans Betriebssystem angepassten Version, und bitte auch auf Sicherheit geprüft und mit automatischen Aktualisierungen beim Betriebssystem-Update. Zu schön um wahr zu sein? Nein. Einfach mal nach Ubuntu gucken…