Zum InhaltLandesbeauftragter für den Datenschutz Bremen
 
Sie befinden sich hier:>> Tipps für Bürger >> Neue Technologien >> DSL: Zugriff auf Privates möglich

DSL: Zugriff auf Privates möglich.

Stand Februar 2009

Ein Großteil von privaten Computern und Firmenrechnern, die mittels DSL-Technologie an das Internet angebunden sind, sind nur unzureichend geschützt. Dies machte sich ein Reporterteam zunutze (Näheres siehe unten). In einer Fernsehsendung konfrontierten die Reporter kleine Unternehmen, wie z. B. Reisebüros, mit Dokumenten, die vom Filmteam zuvor unter Ausnutzung von Sicherheitslücken über das Internet von den Computern der Unternehmen herun-tergeladen und dann ausgedruckt worden waren.

Untersuchungen lassen befürchten, dass zwischen 37 % und 45 % der in Deutschland mittels DSL-Modem an das Internet angeschlossenen Rechner ungeschützt erreichbar sind. Diese Computer sind besonderen Risiken ausgesetzt. Die DSL-Leitungen sind in der Regel "Always-On", d. h. sie haben rund um die Uhr eine Verbindung zum Internet. Einige Provider sind dazu übergegangen, die DSL-Leitung nach bestimmten Zeiträumen der Nichtnutzung der Leitung zu unterbrechen, z.B. nach 30 Minuten ohne Datenverkehr auf der Leitung oder generell nach 24 Stunden. Trotzdem bietet dieses Verfahren keine wirkliche Abschottung der betroffenen Computer gegenüber dem Internet.

Rechner, die mit einem DSL-Modem mit dem Internet verbunden sind, sind vielen Gefahren ausgesetzt. Es besteht u. a. die Gefahr, dass die auf den Rechnern gespeicherten Daten ausgespäht werden. Einige Schwachstellen sind hier nachfolgend beschrieben:

  • Auf jedem Windows-System sind "ab Werk" verdeckte Freigaben (administrative Freigaben) von Ressourcen (wie z. B. Festplattenlaufwerke) konfiguriert. Diese sind eine gute Basis für die Verbindungsaufnahme mit dem System gerade in den Fällen, wo durch die Benutzer keine Administrator-Passwörter vergeben worden sind, also ohne jeglichen Passwortschutz gearbeitet wird. Nach Erfahrungen des Landesbeauftragten für den Datenschutz Bremen ist dies im privaten Bereich sehr verbreitet. Hinzu kommt oft noch die "Unsitte", alle Benutzeraccounts immer mit Administratorrechten auszustatten, damit Installationen schnell und problemlos möglich sind und es keinerlei Probleme mit Zugriffsbeschränkungen gibt. Hierdurch öffnen sich für Angreifer auf einfachste Weise Tür und Tor des Systems.
     
  • Weiterhin befinden sich häufig die an das Internet angebundenen Computer nicht auf dem aktuellsten Stand. Das auf den Rechnern installierte Betriebssystem und die genutzte Software sind oftmals veraltet, (bekannte) Sicherheitslücken können daher nicht geschlossen werden. Hierdurch können potenzielle Angreifer diese Sicherheitslücken systematisch ausnutzen und sich damit beispielsweise administrative Rechte (Vollzugriff) auf die entsprechenden Maschinen verschaffen oder diese mit Denial-of-Service-Attacken (DoS) soweit lahm legen, dass sie sämtliche Aktivitäten einstellen und für die normale Nutzung nicht mehr zur Verfügung stehen.

Zum Seitenanfang

Empfehlungen

  • Bei Neubeschaffung auf die Anbindung mittels NAT-fähigem Router achten (Näheres später unter "Exkurs").
     
  • An das Internet angeschlossene Computer sollen auf jeden Fall mit einer so genannten Personal-Firewall abgeschottet werden; bestehende Computernetze mit zentralem Internet-Zugang können mittels einer zentralen Firewall, die zwischen Modem und PC-Netz installiert wird, abgeschottet werden.
  • Niemals mit einem Benutzerkonto mit Administratorrechten ins Internet gehen. Konten mit administrativen Rechten sollten nur für bestimmte Aufgaben wie z. B. die Installation neuer Software genutzt werden, die tägliche Arbeit muss immer unter einem Benutzerkonto mit Standard-Benutzerrechten passieren.
  • Das auf den PC mit Internet-Anbindung installierte Betriebssystem immer auf dem aktuellen Stand (regelmäßige Updates) halten.
  • Virenscanner mit aktuellen Virensignaturen einsetzen.
  • Freigaben und administrative Freigaben nach Möglichkeit unterbinden.

Zum Seitenanfang

Exkurs: NAT - Network Adress Translation

Diese Technik ermöglicht, dass der Router für das Internet eine offizielle IP-Adresse erhält, während die hinter ihm liegenden Rechner z. B. des Privathaushalts oder eines Unternehmens, mit IP-Adressen ausgestattet werden, die nach Internet-Standard RFC 1918 nicht im Internet geroutet wer-den können. Die "nicht-öffentlichen IP-Adressen" stammen aus den IP-Adress-Bereichen 10.0.0.0 bis 10.255.255.255, 172.16.0.0 bis 172.31.255.255 und 192.168.0.0 bis 192.168.255.255. So können mit einer offiziellen IP-Adresse zahlreiche Computer an das Internet angebunden werden.

NAT ist ein einfach zu bedienendes Verfahren, das (u. a.) zu folgenden Zwecken benutzt werden kann:

  • Verbergen der internen Host-Adressen eines lokalen Netzwerkes durch Abbilden auf mindes-tens eine offizielle IP-Adresse
  • Regelung des Zugangs von extern nach intern. Nach extern leitet der Router alle Datenpakete weiter. Verbindungen von extern werden jedoch nur bei expliziter Freigabe zugelassen.

NAT kann dazu benutzt werden, Ressourcen, die hinter einem NAT-Router liegen, für den externen Zugriff zu schützen und bildet somit einen wichtigen Schritt in Richtung auf die Sicherheit der Daten im durch den NAT-Router an das Internet angebundene Netzwerk (Firewalls verfügen in der Regel über eingebaute NAT-Funktionalität). In Abbildung 1 ist der Aufbau einer LAN-Anbindung an das Internet mittels NAT-Router schematisch dargestellt. Der NAT-Router verfügt auf der einen (externen) Seite über eine DSL-Schnittstelle, auf der anderen über ein 10 Mbit/s oder 100 Mbit/s LAN-Interface. Das LAN-Interface ist mit der nach RFC 1918 nicht-offiziellen IP-Adresse 192.168.24.1 konfiguriert und fungiert somit für das LAN als Gateway zum Internet. Auf dem externen, dem WAN-Interface, ist der Router derzeit mit der offiziellen IP-Adresse 194.25.12.127 konfiguriert und steht damit im Internet, ist also aus diesem heraus zu erreichen. Die Arbeitsplatzrechner des LAN verfügen über IP-Adressen aus dem Bereich 192.168.24.x und müssen in ihrer Netzwerkkonfiguration den NAT-Router (192.168.24.1) als Standardgateway eingetragen haben.

Die Computer, die sich hinter dem Router im lokalen Netzwerk befinden, sind aus dem Internet heraus nicht sichtbar. Gegenüber dem Internet wird immer nur die offizielle IP-Adresse des NAT-Routers bekannt gegeben. Informationen (IP-Adressen) über das dahinter liegende LAN werden nicht übermittelt. Der Aufbau von Verbindungen ist nur aus dem LAN heraus möglich. Nicht angeforderte Versuche, Verbindungen aus dem Internet heraus zu Computern innerhalb des LAN aufzubauen, werden durch den NAT-Router geblockt.

Sind Computer ausschließlich mittels DSL-Modem an das Internet angebunden, erhalten diese PCs direkt eine offizielle IP-Adresse. Der Rechner steht ab diesem Moment auf IP-Ebene direkt erreich-bar im Internet und bildet eine gute Angriffsfläche für Angriffsversuche jeglicher Art.

Der NAT-Vorteil existiert bei der Anbindung eines Computers an das Internet mit einem DSL-Modem nicht. Modems funktionieren nach dem OSI-Referenzmodell auf den Schichten 1 (Bitübertragungsschicht, engl. "Physical Layer") und 2 (Sicherungsschicht, engl. "Data Link Layer"), arbeiten also unterhalb des IP-Protokolls, das im OSI-Referenzmodell auf Schicht 3 (Vermittlungsschicht, engl. "Network Layer") angesiedelt ist. Die IP-Adressen, als unikate Identifikationsmittel im IP-Protokoll, erhalten aber erst Geräte, die auf Schicht 3 arbeiten können (Router, PC, etc.). Modems erhalten daher keine IP-Adresse und können auch kein NAT durchführen.

Schematische Darstellung einer LAN-Anbindung mittels NAT

Abbildung 1: Schematische Darstellung einer LAN-Anbindung mittels NAT

Zum Seitenanfang

Exkurs: Entfernung verdeckter Freigaben (administrativer Freigaben)

Verdeckte Freigaben können problemlos entfernt werden. Unter Microsoft Windows NT 4.0, Microsoft Windows 2000 und unter Microsoft XP können die verdeckten Freigaben durch Anpassen der Registry unterdrückt werden. Dazu ist der Registry-Editor zu öffnen und unter dem Ast:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
einen Eintrag vom Typ REG_DWORD anzulegen und diesem Eintrag den Wert "0" (disable=0) zuzuweisen. Der Name muss bei einem Windows NT 4.0 Server bzw. einem Windows 2000 Server "AutoShareServer" heißen, bei den Workstation-Versionen der gleichen Betriebssysteme "AutoShareWks".

Sobald der Rechner neu gebootet wurde, sind die verdeckten Freigaben entfernt.

Für Windows XP Professional, Windows 2000 Professional und Windows NT 4.0 Workstation können Sie unter folgendem Link Informationen über verdeckte Freigaben finden:

Erstellen und Löschen versteckter oder administrativer Freigaben auf Clientcomputern:
http://support.microsoft.com/default.aspx?scid=kb;de;314984&sd=tech

Stand: Februar 2009

Zum Seitenanfang

Näheres zur Untersuchung

Ausgangsbasis für den Bericht war eine von "frontal21" in Auftrag gegebene Untersuchung, die von der Fachhochschule Trier zusammen mit der Firma cnlab Information Technology Research AG aus Rapperswil in der Schweiz und der Hochschule für Technik Rapperswil (HSR) im Mai 2004 durchgeführt wurde. Gegenstand der Untersuchung war die Sicherheit von Breitbandanschlüssen (DSL-Zugänge) bei Privatanwendern in Deutschland. Die Untersuchungen konzentrierten sich dabei ausschließlich auf Computer mit Windows-Betriebssystemen der Firma Microsoft.

Die Analysen bestanden aus verschiedenen, voneinander unabhängigen Tests, bei denen zuerst der Anteil der direkt aus dem Internet via DSL-Anschluss erreichbaren Privatrechner bestimmt wurde. Nach Ermittlung dieser Zahlen wurde überprüft, welche Rechner direkt (per DSL-Modem) und welche per NAT-fähigem Router an das Internet angebunden sind. NAT bedeutet "Network Adress Translation" und dient dazu, auf dem IP-Protokoll basierende Netzwerke an das Internet anzubinden. NAT-fähige Router haben gegenüber den DSL-Modems den Vorteil, dass sie eine Adressumsetzung zwischen offiziellen und privaten IP-Adressen vornehmen, also quasi eine Trennung von Internet und privatem Heim-PC bzw. Heim-Netz. Dadurch sind Rechner und Netze aus dem Internet heraus nicht direkt zu erreichen. Computer, die mittels DSL-Modem an das Internet angebunden werden, sind demgegenüber, solange die Verbindung zum Internet besteht, direkt erreichbar.

Die im Auftrag von frontal21 durchgeführte Untersuchung hat ergeben, dass bei zwischen 37 % und 45 % der ca. 4.000 in Deutschland überprüften DSL-Anschlüsse Rechner direkt über eine öffentliche IP-Adresse erreichbar waren, also per DSL-Modem ungeschützt an das Internet angebunden sind und nicht mittels eines NAT-fähigen Routers gegen das Internet abgeschirmt werden.

Zum Seitenanfang

Zur Seitennavigation

 Startseite 
 LfDI 
 Sicherheit 
 Kontakt 
 Übersicht 
 Suchen  
 Impressum