Der E-Mail-Dienst für PC-Profis, Ausgabe vom 23. Januar 2006

Die vergessene Phase 4

Von Dr. Giesbert Damaschke, München

Liebe Leser,

eines der Themen, die in Zukunft immer mehr an Bedeutung gewinnen werden, ist die Abwägung zwischen Komfort für den Anwender auf der einen und der Sicherheit des Systems bzw. des Netzwerkes auf der anderen Seite.

Der immense Erfolg des Personal Computers beruht nicht zuletzt darauf, dass sich die Programmierer und Entwickler in den abenteuerlichen Anfangsjahren im Zweifelsfalle immer für Machbarkeit und Komfort entschieden haben und Sicherheitsfragen fast immer ignorierten.

Die vergessene Phase 4

Eine typische Todo-Liste aus der Zeit, hat ungefähr so ausgesehen:

• Phase 1: Sorge dafür, dass eine bestimmte Aufgabe mit dem Computer gelöst werden kann.
• Phase 2: Kümmer Dich anschließend darum, dass die Lösung mit möglichst wenig Systemressourcen auskommt.
• Phase 3: Wenn Du noch Zeit hast, gestalte Dein Programm etwas anwenderfreundlicher.
• Phase 4: Sicherheit – fällt aus. Sicherheitsaspekte spielen keine Rolle, das ist Aufgabe des Anwenders.

Phase 1 dieses pragmatischen Ansatzes hat dafür gesorgt, dass überhaupt Lösungen und Anwendungen zur Verfügung standen. Phase 2 ermöglichte es, diese Anwendungen mit preiswerten Maschinen zu betreiben und Phase 3 schließlich machte den Computer zu einem Massenartikel.

Je komfortabler die Arbeit am Computer wurde, desto mehr Menschen setzten ihn auch ein. Das ist natürlich sehr begrüßenswert, hat aber einen Haken.

Erfahrung und Verantwortung

Wer in den Anfangsjahren des PCs ein bestimmtes Problem lösen wollte, der musste sich, ob er es nun wollte oder nicht, recht intensiv mit der Technik beschäftigen. Durch diese erzwungen Beschäftigung wuchs aber auch das instinktive Grundverständnis und das Verantwortungsbewusstsein beim Umgang mit dem Computer.

Wer mit seinem Computer vor 15 oder 20 Jahren online ging, der tat dies erst nach tage-, mitunter wochenlanger intensiver Lektüre und viel Bastelei. Entsprechend vorsichtig machte man seine ersten Schritte im Netz. Heute verspricht die Werbung "Internet – ich klick's einfach an!": Und wir haben ein Problem.

Wer heute online geht, der kennt sich in der Regel nicht nur mit dem Internet nicht aus, sondern auch nicht mit seinem Computer. Nicht, dass Sie mich da falsch verstehen: Ich finde es sehr gut und begrüßenswert, wenn der Zugang zu den phantastischen Möglichkeiten des Internet möglichst vielen Menschen möglichst unkompliziert zur Verfügung gestellt wird.

Doch es wird höchste Zeit, dass die Entwickler die bislang ignorierte Phase 4 einläuten. Heute geht es nicht mehr darum, den Anwendern ein Programm zur Lösung ihrer Probleme in die Hand zu geben, sondern darum, dass sich die Anwender mit dieser Lösung nicht versehentlich Schaden zufügen können. Wer ein fehlerhaftes, mit Sicherheitsrisiken behaftetes Programm an unerfahrene Anwender abgibt, der gleicht dem Erwachsenen, der einem Kind eine spitze Schere zum Basteln in die Hand drückt. Das Kind kann damit sein Bastelpapier schneiden – aber halt nicht nur das.

Zwei Praxisbeispiele

Immer häufiger stößt man in der Praxis auf Anzeichen dafür, dass die Entwickler die Phase 4 eingeläutet haben und sich heute im Zweifelsfall für die Sicherheit und gegen den Komfort entscheiden.

Wer zum Beispiel versucht, an eine Gmail-Adresse ein ausführbares Programm als Dateianhang zu verschicken, der wird beharrlich Fehlermeldungen bekommen. Seine E-Mail wird wegen eines "illegal attachment" vom System abgelehnt.

Des Rätsels Lösung: Programme sind als Dateianhang aus Sicherheitsgründen bei Gmail nicht erlaubt. Das mag lästig sein, sorgt aber im Gegenzug dafür, dass Sie über Gmail keine Viren, Würmer oder Trojaner zugemailt bekommen.

Wer eine ausführbare Datei verschicken will, muss also einen kleinen Umweg nehmen. Er hinterlegt die Datei auf einem Server im Internet und statt der Datei verschickt er die Download-Adresse der Datei. Das ist ein klein wenig lästiger als der direkte Versand – aber ungleich sicherer und sinnvoller.

Ein zweites Beispiel: Wer unter Linux oder Mac OS X ein Programm installieren will, das auf bestimmte Systembereiche zugreifen will, der muss vor der Installation sein Administratoren-Passwort eingeben. Außerdem muss er unter Umständen beim ersten Start des Programms noch einmal explizit bestätigen, dass das Programm ausgeführt werden soll.

Auch hier gilt, dass das Verfahren ein klein wenig unkomfortabler als das unter Windows derzeit übliche Vorgehen ist – aber der Zugewinn an Sicherheit ist derart groß, dass jeder Anwender im eigenen Interesse diese kleine Hürde nehmen sollte.

Übrigens: Auch das kommende Windows Vista arbeitet mit diesem Verfahren. Auch hier muss sich der Anwender bei sicherheitsrelevanten Aktionen zuerst mit einem Admin-Kennwort legitimieren. Einige Beta-Tester haben sich in ihren Blogs bereits darüber beschwert und halten das Vorgehen für unnötig und lästig.

Sie sollten statt dessen froh sein, dass Microsoft bei Phase 4 angekommen ist.

Ihr

Dr. Giesbert Damaschke

Vista Nachfolger heißt Vienna

Noch ist Windows Vista nicht erschienen, da wurde bereits der Codename für den Nachfolger geändert. Bisher wurde die Entwicklung am übernächsten Windows unter dem Codenamen "Blackcomb" geführt. Nun hat ein Microsoft-Mitarbeiter in seinem Blog bekannt gegeben, dass der Codename intern auf "Vienna" (Wien) geändert wurde, was besonders in der österreichischen Presse freudig notiert wurde.

Die Fachpresse rätselt dagegen, warum man bei Microsoft nun ausgerechnet den Namen einer Stadt gewählt hat, die derzeit dabei ist, von Microsoft auf Linux zu wechseln.

"Blackcomb" war bereits der Codename für den Windows-XP-Nachfolger. Als sich herausstellte, dass die geplanten Feature nicht auf einmal zu realisieren sein werden, schob man die Version "Longhorn" dazwischen. Aus Longhorn wurde Vista.

Der geplante XP-Nachfolger "Blackcomb" war ursprünglich für 2003 angekündigt und wurde auf 2005 verschoben. Inzwischen gibt es die offizielle Ankündigung, dass der XP-Nachfolger unter dem Namen "Windows Vista" in der zweiten Hälfte 2006 erscheinen wird.

Britische Forscher: Handy sind kein Krebs-Risiko / Kritiker weiterhin skeptisch

Mobil- und Funktelefone stehen bei skeptischen Zeitgenossen in dem Ruf, das Krebsrisiko zu erhöhen.

Nun haben britische Wissenschaftler in der bislang größten Studie zu diesem Thema versucht, den immer wieder erhobenen Vorwürfen auf den Grund zu gehen. Über den Zeitraum von vier Jahren untersuchten sie die Auswirkungen des Handy-Telefonats bei 2682 Teilnehmern der Studie. Dabei handelte es sich um 1716 gesunde Personen und um 996 Menschen mit Gehirntumor. Ergebnis: Ein Einfluss des Handy auf konnte nicht nachgewiesen werden.

Doch auch diese Studie wird bereits angezweifelt. Zum einen ist selbst ein Mitarbeiter der Studie skeptisch, ob ein Zeitraum von vier Jahren überhaupt lang genug ist, um haltbare Aussagen zu treffen. Zum anderen melden sich die Autoren einer schwedischen Studie aus dem Jahr 2005 zu Wort. Diese Studie gelangte zu dem Ergebnis, dass es zwischen dem Einsatz von Mobiltelefonen und dem Risiko, an einem Hirntumor zu erkranken, eindeutige Zusammenhänge gibt.

Das Briefgeheimnis gilt auch für E-Mail / Fristlose Kündigung eines Admins

Elektronische Briefe bestehen aus einfach strukturierten ASCII-Dateien, die mit jedem beliebigen Texteditor geöffnet und gelesen werden können. Vor dem freien Zugriff schützt eine E-Mail nur ein einfaches Passwortverfahren beim POP3-Postfach.

Wer Zugriff auf eine Serverfestplatte hat, hat in der Regel keine Schwierigkeiten, beliebige dort abgelegte elektronische Nachrichten zu lesen. Dabei wird noch nicht einmal ein Passwort benötigt. Der Passwortschutz kann durch den direkten Zugriff auf Verzeichnisebene der Festplatte problemlos umgangen werden.

Allerdings: Nicht alles, was man als Admin problemlos tun kann, darf man auch tun. Denn auch eine unverschlüsselt im Klartext vorliegende elektronische Nachricht wird vom Briefgeheimnis geschützt. Wer als angestellter Netzwerkadministrator dieses Briefgeheimnis bricht, in dem er auf die Post der Netzwerkteilnehmer zugreift, riskiert nicht nur ein Strafverfahren, sondern auch die fristlose Kündigung.

Vor dem Arbeitsgericht Aachen wurde nun eine solche Kündigung ausdrücklich als berechtigt eingestuft (Aktenzeichen: Az. 7 Ca 5514/04). Gegen das Urteil wurde Widerspruch eingelegt.

Unabhängig von diesem Fall sollte jedem Anwender klar sein, dass jede nicht-verschlüsselte E-Mail von Unbefugten sehr einfach zu lesen ist. Wichtige Dinge sollten daher im elektronischen Nachrichtenverkehr nur verschlüsselt transportiert werden.