In einem bekannten Ego-Shooter Computerspiel steht der Held auf einer freien Ebene, umgeben von Unmengen Waffen, Munition, Medikits, scheinbar ein spielerisches Schlaraffenland, er muss sie nur aufheben. Sofort entdeckt er jedoch, dass er gleichzeitig von Unmengen von Monstern angegriffen wird und stirbt, ehe er “Uncle” sagen kann, wenn er sich nicht nach einem ganz bestimmten Schema bewaffnet. Er braucht viele Versuche, dies herauszufinden.

Letztlich ganz ähnlich geht es uns, dem XP-Benutzer, am Ende des routinemäßigen Installationsvorgangs beim Herstellen der Internetverbindung: Auch hinter der Firewall eines Routers und der aktivierten Personal Firewall (wir gehen hier von einer Service-Pack-3-CD aus) steht der frisch aufgesetzte Rechner jungfräulich und schutzlos da – und wird sofort hundertfach aus dem Internet angegriffen (das wird nämlich jeder PC in jeder Sekunde, wenn er anständig konfiguriert ist, merkt man es nur nicht). Jetzt kommt es darauf an, die Waffen, die im Internet herunterladbaren Tools und Zubehöre, in der richtigen Reihenfolge aufzunehmen. Hier ist meine:

Herstellen der Benutzbarkeit – idealerweise ist die Erstinstallation (“firstrun”) schon so weit, dass die wichtigsten Dinge alle funktionieren, also Grafik- und Netzwerktreiber. Alles weitere kann später kommen. Manchmal sieht es nach dem Start aber so aus, dass man noch gar nicht arbeiten kann, weil die Grafikkarte nicht erkannt wurde, oder das WLAN verschlüsselt ist. Das muss natürlich als allererstes gerichtet werden.

Aktivierung - eine Menge der wichtigen Downloads von der Microsoft-Website bekommen wir nur mit laufender Aktivierung. Ich gehe davon aus, dass wir eine legale Kopie installieren, deshalb können wir sie genausogut beim ersten Vorschlag über das Internet aktivieren. Es geht blitzschnell, und es werden keine Fragen gestellt.

Browser und Antivirentool - unser frischer Rechner hat kein Antivirentool, denn das ist bei Microsoft nicht serienmäßig, und er hat immer noch den Internet Explorer 6 (IE6 must die!). Dass eins der ersten automatischen Updates der Internet Explorer 8 ist, zeigt, dass Microsoft das weiß. Aber bis zu den automatischen Updates können wir nicht warten! Splat! Bamm! Wham! Angriffe laufen jetzt! Deswegen sind die ersten 2 Websites, die ich aufrufe, Mozillas Firefox und Microsofts Security Essentials (zulässige Alternativen sind Opera und Aviras Free-AV, das hat immer auch mit Geschmack zu tun). Welchen dieser beiden Schritte vor dem anderen? Das ist ein wenig eine Glaubensfrage. Aber: Es ist ganz wichtig, dass wir keine andere als diese absolut vertrauenswürdigen Sites aufrufen, solange dieser grundlegende Schutz nicht hergestellt ist. Wer nebenher schon mal im IE6 Facebook öffnet, während sich das Antivirentool noch aktualisiert, hat das Problem nicht verstanden (außerdem unterstützt Facebook nicht mehr den IE6…).

Wichtige Updates - eventuell hat inzwischen schon die Funktion “automatische Updates” damit angefangen, ansonsten helfen wir ihr auf die Sprünge, indem wir Microsoft Update aufrufen. Dort warten annähernd hundert wichtige Updates auf uns, darunter der Internet Explorer 8, mit dem ich aus persönlicher Überzeugung trotzdem nirgendwo anders als auf Microsoft Update gehen würde – und auch nur, weil es dort mit Firefox nicht passabel klappt. Nach diesem ersten Durchlauf kommen etliche optionale, aber sinnvolle Updates auf uns zu, z. B. der aktuelle Mediaplayer, Windows Search, das .NET Framework. Diese bedingen neue, wichtige Updates – ein Teufelskreis beginnt, der einen halben Tag dauern und ein halbes Dutzend Neustarts enthalten kann.

Erst jetzt haben wir die Grundvoraussetzungen für sicheres Surfen erfüllt: Firewall, Updates, Antivirenschutz ist das Trio, das Microsoft empfiehlt, ein geeigneter Browser ist meine unbedingte persönliche Ergänzung. Erst jetzt können wir beginnen, den PC benutzbar einzurichten. Was es dazu braucht, ist stark geschmacksabhängig, hier meine Empfehlungen:

Ohne den Adobe Reader, ein ZIP-Kompressionsprogramm und einen Bildbetrachter kommt niemand nirgendwohin. Der Browser benötigt Flash und das Surfvergnügen steigt mit einem Werbeblocker. Produktiv wird es mit einem E-Mailprogramm und einer Office-Suite, für beides muss man kein Geld ausgeben. Nach der Installation jedes Tools muss es auf Updates geprüft werden! Ja, z. B. der Adobe Reader wird manchmal nur per Update gepatcht, und das OpenOffice bringt nicht immer die aktuelle Java-Version mit sich. Das ist die Minimalkonfiguration, mit der ich einen PC übergeben würde.

Ein abschließender Test beim Scan von heise/Secunia sollte nichts Unklares aufzeigen.

Sicherheit für Paranoiker – das muss doch noch viel sicherer gehen? Ja, wenn man die genannten Anwendungen von einem sicheren PC aus auf einen USB-Stick lädt und unserem Kandidaten einimpft, bevor man ihn überhaupt ans Internet anschließt. Aktivierung in dem Fall per Telefon. Theoretisch kann man das nicht nur mit Firefox und Antivirus machen, sondern sogar mit den drölfzig Updatepaketen, Microsoft bietet sie alle einzeln zum Download an. Aber nein, ich will mir nicht die Liste zusammengoogeln, welche Dateien und Downloadlinks das sind. Und natürlich muss der PC, der dabei als Basis dient, selbst völlig verlässlich sein…

Ist es da nicht besser, gleich Windows 7 / gleich einen neuen PC zu nehmen? Das ist eine Abwägungsfrage. Ich finde XP ausgereift, nicht überholt, obwohl es ein ganzes Jahrzehnt alt ist. Der Extended Support wird bis 2014 laufen. Aber: nach dem Rohrkrepierer Vista, den niemand seriöserweise empfehlen dürfte, ist mit Windows 7 jetzt natürlich ein würdiger Nachfolger im Sortiment, der echte Verbesserungen enthält, und mit dem Internet Explorer 9, den es nicht mehr für XP gibt, auch aufgezeigt, wohin der Hase läuft. Zwischen jetzt und 2014 muss sich also der Anwender entscheiden. Doch ist die Wahrscheinlichkeit hoch, dass man bis dahin auch mal wieder einen neue PC gekauft hat, der eine neue Windows-Lizenz mitbrachte. Und natürlich ist da noch Ubuntu, das komplett freie Betriebssystem, das regelmäßig gepflegt und aktualisiert wird…

Zehn Jahre später redete (fast) keiner mehr vom Millennium Bug, der riesigen Computerpanne, die das Ende unserer zivilisierten Welt (“TEOTWAWKI“) hätte bedeuten sollen, und die dann nicht stattfand. Und jetzt, an den ersten Werktagen nach einem banalen Jahrzehntwechsel, reiben wir uns erstaunt die Augen und bemerken, daß das keine gute Idee war, daß wir nichts, aber auch gar nichts daraus gelernt haben.

Millionen von ec-Karten-Kunden stehen im schönsten Wortsinne bargeldlos da, weil Automaten und Bezahlterminals ihnen nichts auszahlen wollen, die Fahrgäste der Düsseldorfer Rheinbahn raten auch eine Woche später noch, wohin die Reise geht, weil die Anzeigetafeln der Straßenbahnen sie in die Irre führen. Windows-Smartphones, Symantec-Antivirenprogramme, Cisco-Loadbalancer, Spamfilter – es sind auch diesmal keine Flugzeuge vom Himmel gefallen, doch scheint es das schiere Glück zu sein, daß es “nur” unsere Alltagssoftware ist, die versagt.

Und dabei war es vor zehn Jahren noch ein guter, wenn auch 40 Jahre alter Grund, warum sich Probleme ankündigten: als in den 70ern Speicher knapp war, hatte man Jahresdaten zweistellig notiert. Solche Beschränkungen kennt man heute schon lange nicht mehr. Warum ging dann heute, beim kleinen “Decade Bug” mehr schief als vor einem Jahrzehnt bei seinem großen Bruder? Nochmals: weil man nichts gelernt hat. Denn vor zehn Jahren ging die Sache nicht durch Glück glimpflich aus, sondern weil im Vorfeld eine ganze Industrie von Programmierern und IT-Consultants Unmengen von Programmen, Milliarden von Codezeilen auseinandernahm und analysierte. Ein Vermögen wurde dafür ausgegeben, Software “zertifiziert millenniumssicher” zu machen. Als dann nichts passierte, spotteten viele, das Geld sei verschwendet worden. Diesmal schaute man vorher gar nicht erst hin. Aber eine neue Generation von Programmierern ist am Werk, und sie macht, wie jede neue Generation, die gleichen Fehler neu, und neue Fehler dazu.

An einer Qualitätssicherung und Softwaretests, die die Folgen hätten erkennen können, wird aber weiterhin gespart. So wissen beispielsweise die Rheinbahner mit den irrenden Anzeigetafeln nach 6 Tagen immer noch nicht einmal, woran es gelegen hat.

Diese Dienste leiten einen vorhandenen Link weiter und bieten dem Twitter-Autor eine Abkürzung an. Auch und gerade richtig lange Links mit vielen Parametern wie http://www.arbsware.de/2009/06/05/twitter-traue-keinem-kurzen-url/ werden auf eine Tütensuppe wie http://is.gd/OZvE zusammengepreßt. Das ist einerseits ungemein praktisch, läßt aber andererseits einen alten Feind wieder aufleben: Gerade hatte sich auch bei durchschnittlich geschulten Anwendern das Bewußtsein herausgebildet, einen Link erst zu überfahren und unten auf der Statuszeile mal vorsichtig zu schielen, wo er denn wohl hinführen werde, ehe man gleich draufklickt – jetzt erhalten wir Links, denen man überhaupt nicht ansehen kann, was da auf mich zukommen wird, die versprochene Information oder ein Virus oder Kinderporno. Und wir erinnern uns an den aktuellen Stand der Gesetzesdebatte zum sog. virtuellen Stopschild: Wer unbedarft auf ein solches Stopschild aufläuft, hinter dem sich vielleicht Kinderpornographie verbirgt, vielleicht auch nicht, der wird bereits beim BKA gespeichert und ist damit für die Zukunft potentiell mit einem Verdacht gebrandmarkt, der auch ohne Urteil zu sofortiger gesellschaftlicher Ächtung führt.

Damit gilt auch in der Twitter-Welt: Augen auf, wenn man einen Twitterer nicht kennt, überlege man zweimal, ob man seinem Link traut. Im Zweifel führt der Umweg über die Seite des Verkürzungsdienstes, der die Langform des Kurzlinks gern verrät; es gibt auch entsprechende Plugins dazu.

Das mit dem automatischen Drüberinstallieren war schon einmal passiert, da lud der Browser eine alte Version nach, und es ist auch nicht das erste Mal, daß ein hastig gestricktes Sicherheitsupdate neue Lücken aufreißt. Es ist auch klar, daß das keine Spezialität von quelloffener Software ist, Microsoft macht das auch zwei-, dreimal im Jahr. Vielmehr zeigt es das grundsätzliche Fehlen anständiger Qualitätssicherung. Proprietäre Software muß das selbst machen, quelloffene könnte sich auf das “Peer Review”, das Prüfen durch andere, verlassen, sollte das aber besser nicht tun, wenn sie ernst genommen werden will.

Manchmal gibt es einfach etwas Schönes zu lachen: Da hat sich in dieses über Aldi vertriebene Notebook ein Bootsektorvirus von 1994 eingeschlichen – wegen der heute anders “tickenden” Systemarchitektur kann es gar nichts mehr bewirken, peinlich ist es trotzdem.

Wirklich peinlich ist aber Warnmeldung des mitgelieferten Antivirus-Programms Bullguard, die als Screenshot beizufügen heise sich nicht verkneifen konnte: “Keine Tätigkeit haben sein nehmen” hilft wirklich, Vertrauen in diese Software aufzubauen, die man im Übrigen nach 30 Tagen bezahlen muß. Da gibt es gängige Antivirensoftware, für Privatpersonen auch kostenlose (z. B. Avira AntiVir PersonalEdition Classic), die ich eher empfehlen kann.

Leider ist, wie oft, wenn ein Breitenmedium versucht, seinen Lesern vom Internet zu erzählen, dem SPIEGEL so vieles durcheinander geraten, daß das einen eigenen Artikel wert ist. So konzentriert sich der SPIEGEL in seiner Berichterstattung ganz auf das Hackertool Mpack, das doch nichts neues tut außer eine ganze Reihe bekannter Exploits abzuarbeiten, und die überhaupt nicht neue Verbreitungsmethode durch einen unsichtbaren iFrame, und drängt darüber das eigentlich Bedenkliche in den Hintergrund, daß es nämlich den Hackern gelungen ist, über Angriffe auf mit Cpanel administrierte Domains (insbesondere in Italien) diesen Schadcode auf zunächst völlig unverdächtigen Webseiten zu plazieren.

Auf suspekten Seiten, die Sex, Poker oder Musik-Raubkopien zum Thema hatten, konnte man sich solche Ansteckungen schon immer holen – neu jetzt auch beim Buchen einer Ferienwohnung in der Toskana. Da sind dann erstmals alle ahnungslos, die Surfer genauso wie die Seitenbetreiber, und nicht selten wohl sogar die Hostingfirmen, denn das kann ja auch inzwischen jeder machen, der sich einen Backbone in die Garage legen läßt. In diesem Sommer ist Urlaub in Schweden oder Holland wohl sicherer, leider auch regnerischer…

Diese Aktion soll das Bewußtsein beim Blogger für das Anlegen regelmäßiger Backups schärfen. Nun, das betrifft sicher nicht nur Blogger, sondern uns alle da draußen. Wir, die kleinen und mittleren Unternehmen, haben oft keinen eigenen Administrator. Deshalb ist IT-Sicherheit entweder Chefsache – oder Prakti-Sache. Oder die Sache vom Herrn Schulze, der kennt sich ja ganz gut damit aus, und hat auch manchmal noch etwas Zeit übrig.

Wir Segler haben eine Weisheit zum Reffen, dem Verkleinern der Segelfläche bei herannahendem Sturm: “In dem Augenblick, in dem du zum ersten Mal ans Reffen denkst, ist es allerhöchste Zeit dafür!”

Ein jeder mag sich einen Augenblick lang selbst ausmalen, was das Fehlen eines Backups, oder der Rückgriff auf ein total veraltetes, für ihn bedeutet. Wer noch nicht so viel eigene Erfahrungen mit der Materie hat, sei auch noch an den – leider gar nicht seltenen – Spezialfall des wohlmeinend angelegten, aber nicht funktionierenden Backups erinnert. Also besser das Zurückspielen mal ausprobieren…

Also ergeht hiermit die Aufforderung an alle: Backup machen, denn es ist allerhöchste Zeit dafür!

Nur 34% der deutschen Kunden gaben dabei an, ihren Online-Umsatz erhöht zu haben, gegenüber 62% in den USA und 49% in Frankreich und dem Vereinigten Königreich. Immerhin weitere 52% haben das Umsatzvolumen behauptet. Die Deutschen fühlen sich dabei unsicherer (nur 64% der Deutschen fühlen sich zumindest “ziemlich sicher”, das tun 86% der Amerikaner), kennen aber die Gefahren nur vom Hörensagen: Nur ca. zwei Drittel der befragten Europäer konnten mit dem Begriff Identitätsdiebstahl überhaupt etwas anfangen, während 90% der Amerikaner diese Bedrohung kennen.

Die Studie glaubt, daß die beteiligten Unternehmen ein volles Drittel ihrer Umsätze online tätigen – diese Zahl möchte ich anzweifeln; sie dürfte nicht repräsentativ sein, da die Umfrage nur solche Unternehmen erreicht, die überhaupt online agieren.