Vor Hackern gefeit?

Wie Ihr Chromebook sicher wird

29.08.2017 von Derek Walter und Florian Maier
Chrome OS ist in Sachen IT Security schon ziemlich gut aufgestellt. Wir zeigen Ihnen, wie Sie die Sicherheits-Zügel mit einigen Tricks noch ein bisschen fester anziehen.

Ein Chromebook ist bereits "out of the box" ein ziemlich sicherer Computer. Schließlich läuft darauf kein traditionelles Betriebssystem, sondern Chrome OS. Das profitiert von zahlreichen Security-Maßnahmen aus dem Hause Google und ist gegen viele Bedrohungen die im Netz lauern, bereits ausreichend gewappnet. Fakt ist aber: Mehr geht immer. Insbesondere, wenn Sie gesteigerten Wert darauf legen, Ihre Online-Spuren schon aus Prinzip zu verwischen oder den raffinierten Plänen der Werbetreibenden Riegel vorschieben möchten.

So wird Ihr Chromebook für Hacker zum Buch mit sieben Siegeln.
Foto: Dragon Images - shutterstock.com

Vielleicht teilen Sie Ihr Chromebook auch mit anderen Benutzern oder brauchen ein Setup, dass auch den neuesten Bedrohungen für die IT-Sicherheit standhält. Nicht zuletzt könnte es auch Zeit sein, Ihr Leben etwas zu "ent-google-isieren" - schließlich wächst auch der Datenhunger des Suchmaschinen-Krösus immer weiter. Aus welchem Grund auch immer Sie mehr Security wollen - wir sagen Ihnen, wie Sie Ihr Chromebook zu Ihrer persönlichen, digitalen Hochsicherheitsfestung machen.

Sichern Sie Ihre Google-Sicherheit

Chrome OS profitiert von den Security-Bemühungen Googles. Etwa wenn es darum geht, bösartige Webseiten zu identifizieren: Jedes Browsertab läuft dazu in einer eigenen Sandbox, der Besuch einer Webseite kann so nicht mehr den kompletten Rechner lahmlegen. Inzwischen gehört die Sandbox-Technologie für Browser zur Standard-Ausstattung.

Allerdings bildet das nicht die Grundlage für gute IT-Sicherheit, sondern Sie selbst. Beziehungsweise, wie Sie mit Ihren eigenen Daten umgehen. In diesem Fall sollten Sie zunächst sicherstellen, dass Ihr Google Account ausreichend abgesichert ist. Schließlich bildet dieser den Haupt-Zugangspunkt zu Ihrem Chromebook. Sie sollten also sowohl auf ein sicheres Passwort, als auch auf Googles Zwei-Faktor-Authentifizierung setzen. Letztgenannte erzeugt eine Text Message, beziehungsweise einen Einmalcode, der auf Ihr Smartphone gesendet und für den Login benötigt wird.

Für maximale Security können Sie in den Chromebook-Einstellungen den Sign-In ausschließlich für Ihr eigenes Profil erlauben. So bleiben neugierige Verwandte, Nachbarn, Jugendliche, etc. außen vor. Wenn andere Ihr Chromebook benutzen müssen, sollten Sie sich über die Erstellung eines "betreuten Nutzers" wenigstens ein Grundmaß an Kontrolle verschaffen.

Sollten Sie Ihr Chromebook verleihen oder wiederverkaufen wollen, denken Sie daran, dass Ihnen mit "Powerwash" eine schnelle und einfache Funktion zur Verfügung steht, um all Ihre Daten zu löschen und das Chromebook auf die Werkseinstellung zurückzusetzen.

Online-Anonymität first

Vielleicht haben Sie auch schon einmal die Erfahrung gemacht, dass Ihre Amazon-Einkäufe Sie nach dem Kauf in Form von Werbeanzeigen "verfolgen"? Diese lästige "Bespitzelung" können Sie mit Hilfe eines VPN-Clients schnell unterbinden. Für Ihr Chromebook empfiehlt sich dafür die Lösung von TunnelBear. In erster Linie deshalb, weil die meisten anderen VPN-Lösungen nur als Windows- oder macOS-Client zu bekommen sind, während TunnelBear auch als Chrome-Extension zur Verfügung steht. Chromebooks mit Zugriff auf den Google Play Store können auch die TunnelBear Android App installieren.

Eine andere Erweiterung die Privatsphäre-affinen Chromebook-Usern zu mepfehlen ist, ist Privacy Badger. Die Extension kommt von der Electronic Frontier Foundation (EFF) und blockt zum Beispiel Tracker und Cookies. Die Performance einiger Websites kann durch den Einsatz dieses Tools aber unter Umständen leiden.

Sichere Internetseiten unter Google Chrome erzwingen
Google Chrome
Wenn Sie zum Beispiel die Webpräsenz von Vodafone aufrufen, erhalten Sie standardmäßig nur die ungesicherte Variante der abgerufenen Seite.
Google Chrome
Dabei hält Vodafone auch eine per HTTPS geschützte Verbindung parat. Daran müssen Sie aber selbst denken, indem Sie der Adresse https voranstellen.
Google Chrome
Damit Sie nicht immer manuell einzugreifen brauchen, geben Sie in Chrome in die Adresszeile "chrome://net-internals/#hsts" ein und drücken Enter.
Google Chrome
Im rot markierten Bereich können Sie nun eine Domäne eintragen, für deren Seiten stets eine HTTPS-Verbindung angefordert werden soll.
Google Chrome
Für unser Beispiel geben wir die Domäne "vodafone.de" an. Außerdem soll der Schutz auch für Subdomains gelten. Mit der Add-Schaltfläche lässt sich der Eintrag hinzufügen.
Google Chrome
Automatisch übernimmt Chrome daraufhin den neuen Eintrag und startet eine Query, um zu erkennen, welche HSTS-Spezifika vodafone.de unterstützt. Sie selbst müssen nichts weiter unternehmen und können den Tab schließen.

Ein weiteres Tool aus dem EFF-Fundus ist Https Everywhere. Einmal installiert sorgt diese Chrome-OS-Erweiterung dafür, dass eine sichere Verbindung zu allen Webseiten erzwungen wird. Denn auch wenn Google und andere Konzerne mit aller Macht versuchen https als Standard zu etablieren, folgen längst nicht alle Webseiten-Betreiber dieser Bestrebung.

Google muss nicht alles wissen

Eventuell spielen Sie mit dem Gedanken, Google ein bisschen weniger Informationen über sich selbst anvertrauen zu wollen. Denn die Aggregation dieser Details kann mitunter zu "interessanten" Ergebnissen führen. Eine Lösung: Ändern Sie Ihre Standard-Suchmaschine. DuckDuckGo ist eine alternative Suchmaschine, die Ihre Suchanfragen nicht speichert. Darüber hinaus ermöglicht auch der "Gastmodus" in Chrome, dass Ihre Suchanfragen nicht Ihrem Google-Konto zugeordnet werden. Dazu melden Sie sich einfach ab und als Gast wieder neu an.

Wenn Sie gegenüber Google noch weniger von sich preisgeben wollen, können Sie zusätzlich die Chrome-Funktionen "Autofill" und "Autosync" deaktivieren. Ersteres ist zwar bei der Ausfüllung von Formularen durchaus hilfreich - eventuell möchten Sie aber nicht, dass sämtliche persönliche Details mit einem Klick abrufbar sind. Die Deaktivierung der automatischen Synchronisation hat zur Folge, dass Ihre Suchhistorie und andere Einstellungen ausschließlich lokal vorgehalten werden.

Wenn Sie hingegen die Vorzüge der Synchronisation von Daten und Passwörtern auskosten möchten, dabei aber Google außen vor bleiben soll, sollten Sie die Nutzung eines Passwort-Managers in Betracht ziehen. Um sich auch der Überwachung durch die Netzprovider zu entziehen, können Sie Ihren DNS Server umleiten. Dazu können Sie zum Beispiel DNS Watch nutzen.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation PC World.

Passwort-Manager: Das sollten Sie wissen
Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices.
Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere".
Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt.
Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden.
Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.