Wer so etwas in eine Überschrift stellt, gibt sich natürlich als jemand zu erkennen, der das Betriebssystem Windows nicht oder nicht mehr nutzt. Es gibt auch gute Gründe das nicht zu tun, einer davon hört auf den Namen Locky. Locky ist ein Krypto-Trojaner, also Schadsoftware. Er verschlüsselt deine Daten auf deiner Festplatte, auch die in deinem angeschlossenem Netzwerk und wenn er das beendet hat, hinterlässt dir eine Nachricht: » Alle Daten wurden kryptografisch verschlüsselt. Die Entschlüsselung ist nur mit einem privaten Schlüssel und einem Entschlüsselungsprogramm möglich. Wenn du das haben haben möchtest, kannst du das bei uns kaufen, kostet ein Bitcoin. « (sinngemäß) – Locky erpresst dich also mit deinen eigenen Daten, die du sicher gern wiederhaben möchtest. Dagegen machen kannst du eigentlich nichts, höchstens hoffen für diesem Fall vorgesorgt und mit einem externen Backup noch nicht alles verloren zu haben.
Dass Locky und auch andere Schadsoftware nun gerade unter Windows ein riesiges Problem darstellt, hängt zum einen damit zusammen, dass Windows nach wie vor die größte Verbreitung unter den Desktop-Rechnern hat, aber nicht nur. Gegenüber Linux und auch Mac OS X macht es Windows einem Angreifer nach wie vor eher einfach. Unter Windows ist der erster Nutzer standardmäßig permanent mit vollen Admin-Rechten unterwegs. Für die tägliche Arbeit Um sich auf Ebene der Benutzerrechte etwas absichern zu können, muss man einen neuen Benutzer anlegen und diesen entsprechend beschränken. Eine aktive Aufforderung gibt es unter Windows bis heute nicht. Zusätzlich gibt es in der Windows-Welt mittlerweile eine regelrechte Industrie, die sich auf sogenannte Firewalls und Virenscanner spezialisiert hat. Entstanden ist dort ein Ökosystem in dem der beste Kunde einer ist, der möglichst wenig von der Technik versteht, die er mittlerweile tagtäglich benutzt und natürlich ist eine Portion Angst vor der Bedrohung durch Viren und Trojanern notwendig. Sicherlich kann sich jeder erinnern schon mal einen Bericht über neue Viren gelesen zu haben in dem auch großzügig auf Virenscanner hingewiesen wurde. Und wie groß waren dazu im Verhältnis weitere Hinweise wie beispielsweise eine Anleitung, wie man sich ein eingeschränktes Benutzerkonto unter Windows anlegt?
Die größte Schwachstelle sitzt vor dem Rechner
An der Stelle schließt sich schon ein erster Kreis. Jemand, der sich dieser Situation nicht ergibt, sondern sich ernsthaft damit auseinandersetzt, wird lesen, dass verschiedene Linux-Varianten wie Ubnutu oder Mint nicht nur ein besseres Sicherheitskonzept verfolgen, sondern auch genauso leicht oder eigentlich noch einfacher installieren und bedienen lassen. Tatsächlich bin ich davon überzeugt, dass es für das ganz normale Arbeiten am Rechner schon lange keinen Grund mehr gibt, sich überhaupt noch auf Windows einzulassen. Und ja, ich weiß, Gamer haben gute Gründe, aber zum einen heißt es auch deshalb „besser arbeiten“ und nicht „besser spielen“ in der Überschrift und zum anderen möchte ich auf ein Situation hinweisen, die uns gerade Locky wieder sehr vor Augen hält: die eigentliche Schwachstelle sitzt eben vor dem Rechner. Selbst wenn Windows theoretisch als einigermaßen sichere Umgebung zu nutzen ist, bleibt das eben immer dann Theorie, wenn das keine Grundeinstellung ist, sondern optional und Zusatz.
Aber schauen wir uns mal an, was Locky konkret macht, in dem folgenden Video wird das sehr gut gezeigt:
Der Trojaner verbreitet sich also z.B. über E-Mails, die vorgeben im Anhang eine Rechnung als Windows-Word-Dokument für den Empfänger bereit zu halten. Der Trojaner schafft es also nicht komplett allein den Rechner zu infizieren, er braucht dazu den Menschen, der den Anhang öffnet und dann auch noch das Ausführen eines Makros mit einem Klick bestätigt, wenn diese nicht sowieso schon per default aktiv sind. Erst wenn der Mensch seinen Lemming-Akt vollbracht hat, kann der Trojaner aktiv werden und das eigentliche Schadprogramm aus dem Internet nachladen.
Wir müssen Technik bevorzugen, die uns vor uns selbst schützt
Wer sich bei der Lemming-Zuschreibung nicht abgeholt fühlt, dem kann ich versichern, ich bin keinen Deut besser. Auch ich gehe den Weg des scheinbar geringsten Widerstands, wenn ich Technik anfasse. Sichtbar wird das auch am Beispiel Facebook. Wenn ich mir da nicht selbst eine Hürde eingebaut hätte, würde ich weiterhin regelmäßig, in der Hoffnung auf Erkenntnis, dort festkleben und das obwohl ich es längst besser weiß. Ich meine das nicht abwertend und habe daher kein Problem mit dieser Zuschreibung. Die Klickfinger ist manchmal schneller als man will.
Wir sind Menschen und keine Computer. Wir lassen uns leiten von Logik, aber eben auch von Gefühlen sowie äußeren Einflüssen, also z.B. von dem was andere tun oder so etwas wie das Wetter. Wir müssen uns deswegen nicht schlecht fühlen, aber wir müssen vor allem dann logisch herangehen, wenn es um unsere Freiheit geht. Wie Locky uns eindrucksvoll vorführt, haben wir uns über die Digitalisierung abhängig gemacht von Technik. Auch wenn wir das nicht gewollt haben, Sicherheit verkommt immer mehr zum Zufall.
In Windows kann ich einen komischen Anhang einer komischen EMail öffnen und mir damit all meine Daten verschlüsseln. Die Logik müsste doch eigentlich laut werden: Wenn etwas komisch ist, klicke ich nicht einfach weiter! Aber die Logik ist wohl nicht stark genug. Schätzungen besagen, dass aktuell 5.000 PCs pro Stunde befallen werden.
Auch Linux ist keine total sichere Umgebung! Absolute Sicherheit gibt es nicht. Dass sich Kriminelle auf Windows konzentrieren, hat zum einen damit zu tun, dass Windows nach wie vor am weitesten verbreitet ist, es damit schon potentiell viel mehr Opfer gibt und natürlich hat es auch etwas damit zu tun, dass bei Windows zugunsten dieser schnellen Verbreitung immer wieder auf die mehr Sicherheit verzichtet wurde und wird, also tatsächlich vom Konzept her unsicherer ist. Schlicht und ergreifend ist das der Preis dafür, dass seit ein paar Jahren jeder – jetzt mal nur Deutschland betrachtet – irgendwie Zugangang hat zu einem Computer hat oder selbst einen besitzt.
Linux in 2016 ist einfach zu installieren und bedienen
Nachdem ich vorher schon einen C64 hatte, bekam ich meinen ersten Windows-PC ’98 herum und auch wenn ich damals schon von Linux gehört hatte, war das für mich immer noch zu komplizert. Heute ist die Installation oder der Wechsel von Windows zu Linux dagegen sehr einfach. Es gibt Windows-Programme mit denen man sehr leicht z.B. einen USB-Stick selbst erstellen, von dem aus man ein Linux seiner Wahl direkt starten kann und testen kann. Die entsprechendenen Dateien stehen im Netz frei zum Download zur Verfügung, Zusatzkosten entstehen eigentlich nur durch den USB-Stick. Ist man mit dem Test zufrieden, kann mit ein paar wenigen Klicks fest auf dem Rechner installieren.
Ich möchte an der Stelle gar nicht so sehr in die Tiefe gehen, letztlich gibt es bereits viele Quellen, wie das Wiki unter ubuntuuser.de, wo alles sehr gut dokumentiert ist und man sich in Ruhe reinlesen kann, bzw. zu eigentlich jeder Frage eine Antwort findet. Die Handhabung ist einfach. Software installiert man sich über eine Paketverwaltung, das macht die Sache auch übersichtlich. Ich muss an einer Stelle nach suchen und nicht an zwanzig verschiedenen Stellen. Das einzige, wo ich immer auch immer noch nachschauen muss, ist dier Installation des richtigen Druckertreibers.
Linux ist auch nicht sicher, absolute Sicherheit gibt es nicht
Zwar ist Linux von der Architektur her als sicherer einzustufen als das was auf den allermeisten PCs als Windows läuft, aber absolute Sicherheit gibt es nicht und auch Linux braucht mündigen informierten Nutzer. So wurde vor kurzem eine Sicherheitslücke bekannt, die es seit 2008 gegeben haben soll. Inwiefern diese Schwachstelle in der Vergangenheit ausgenutzt wurde, bleibt unklar. Nach Bekanntwerden dauerte es aber nur ein paar Stunden, bis ein entsprechendes Update für die jeweiligen Linux-Versionen bereitsstand. Alle großen Linux-Distributionen verfügen über die bereits genannte Paketverwaltung, über die auch sämtliche Sicherheitsupdates sehr einfach eingespielt werden können, sobald diese bereitstehen. Ich selbst nutze seit einer Weile Linux Mint. Da habe ich rechts unten in der Leiste einen kleinen grünen Haken, der mir zeigt, dass meine Software aktuell ist, bzw ein Ausrufezeichen, wenn es ein kleineres oder größeres Update gibt. Nicht jedes Update ist sicherheitsrelevant, insgesamt gibt es aber eigentlich jeden Tag irgendein kleines Update zu genehmigen. Einmal klicken, mit dem Admin-Passwort bestätigen, fertig.
Aber auch darüber hinaus wird Linux angegriffen, wie es sich aktuell bei eben jener Distribution Mint zuträgt. Wahrscheinlich über eine nicht aktualisierte WordPress-Installation gelang einem Angreifer der Zugriff auf den Server, auf dem u.a. die ISO-Dateien von Mint zur Verfügung gestellt werden. Eine dieser Dateien soll der Angreifer durch eine kompromitierte Version ausgetauscht haben. Das ist gravierend und passiert auf dem Level zum Glück nur selten. Und Schuld ist: womöglich ein Mensche. Die WordPress-installation des Blogs wurde nicht aktualisiert. Das bestätigt letztlich noch einmal, sichere Software gibt es nicht, Fehler tauchen immer wieder auf und natürlich besonders gern dort, wo man es gerade nicht gedacht hat. Es gibt keinen Weg sich darauf zu verlassen, dass Software „einfach“ funktioniert und am Ende auch nur das tut, was sie soll und erst recht nicht für immer. Der Prozess der Aktualisierung gehört mit der Idee von Software „verheiratet“. Die Idee, dass Software „stabil“ sein könnte, ist mehr als veraltet.
Das Wissen um Software wird vernachlässigt, unter Windows noch viel stärker
Die Digitalisierung hat vielleicht vielfälitge Prozesse in der Arbeitswelt vereinfacht, insgesamt ist es aber vor allem sehr viel komplexer geworden. Wenn wir heute genau hinschauen, haben sich die meisten Menschen dieser Komplexität längst komplett ergeben. Wir haben Linux heute auf einem Stand, mit dem sich der Einsatz von Windows in den Büros schon schwer rechtigen lässt. München ist eine der wenigen Städte, in der man bisher die Entscheidung getroffen hat, 80% aller PCs in der Verwaltung mit Linux zu betreiben. Und selbst dort wollen Stadtratsmitglieder, wenn sie es sich aussuchen könnten, lieber Windows, um sich selbst Skype installieren zu können.
Wenn man bedenkt, dass Stadtratsmitglieder nicht haupt- sondern eher ehrenamtlich und nur auf Zeit Stadtratsmitglieder sind, ist dieser Wunsch etwas zu verstehen. Man hat sich in verschiedenen anderen Kontexten daran gewöhnt, Technik und Software „einfach“ zu nutzen, ohne sich wirklich darüber Gedanken zu machen. Diese Entwicklung wird in Zukunft vorhersehbar noch extremer. Der Computer eines Jugendlichen ist heute zuerst das Smartphone und das Tablet. Der Destop-PC definitiv nicht mehr ganz oben auf der Wunschliste und wahrscheinlich auch nicht mehr der Laptop. Was Software ist, können sich bestimmt schon heute nur noch ganz wenige so richtig vorstellen. Das ist wie wenn ich nur noch Pommes und Hamburger esse und das Ernährung nenne, weil ich überhaupt keine Ahnung mehr habe, was mein Körper eigentlich ist und was er wirklich braucht.
Natürlich kann man die Entscheidung als eine politische Entscheidung bezeichnen
Bei allem technischen Fortschritt dürfen wir nicht vergessen, dass wir Menschen zuerst und vor allem die Freiheit brauchen und dass es nie so gedacht war, dass wir uns 100% von Technik abhängig also unfrei machen. Tatsächlich zeigen uns aber solche Probleme wie Erpresser-Software, dass wir geradewegs auf diese totale Abhängigkeit zulaufen. Weil wir es längst akzeptiert haben, dass wir uns von Unternehmen wie Microsoft und natürlich auch Apple abhängig machen. Dabei geht es gar nicht um die Frage, dass mit dieser Infrastruktur Geld erwirtschaftet wird. Auch OpenSource-Software muss finanziert werden (vergl. Die Finanzierung Freier Software / Open Source). Das Problem liegt am Mangel im Mitspracherecht. Wenn wir Microsoft nutzen, haben wir nur bedingt die Möglichkeit über den Code mitzubestimmen. Auch können wir nicht viel lernen wenn wir auf den Quellcode nicht draufschauen können. So gesehen führt an der OpenSource-basierten Infrastruktur, wie sie mit Linux bereits haben, auch kein Weg vorbei.
