Die Ratschläge des Bundesinnenministers sind nicht neu, sondern wurden schon seit Monaten vom Bundesamtes für Sicherheit in der Informationstechnik online angeboten. Wichtigste Empfehlung für Anwender: die Sicherheitseinstellungen von Internet-Browsern auf höchste Stufe einstellen, aktive Inhalte dürfen nicht zugelassen werden. Darunter fallen die Programmiersprachen AktiveX, Java und Javascript, aber auch Cookies, kleine Dateien, die unbemerkt auf die Rechner übertragen werden und dem Betreiber einer Website Auskunft über das Verhalten des Surfers geben.

Für E-Mail sollte der Standard eingehalten werden: niemals im HTML-Format, sondern nur in reinem Text. Äusserste Vorsicht vor Attachments unbekannten Inhalts: das gilt insbesondere für Dateiendungen, die aktive Inhalte vermuten lassen. Gefährlich sind: Visual Basis Script (".vbs"), Stapeldateien wie ".bat", Programme wie ".com" oder ".exe". Fragwürdig, weil riskant, sind Attachments im beliebten Word-Format, die Makro-Viren enthalten könnten, auch "Rich Text" (".rtf") kann, falls Grafiken darin verborgen sind, die Festplatte des Empfängers schädigen.

Diese Tipps gehen aber vermutlich an der Realität vorbei: Die Mehrzahl der Nutzer von E-Mail-Programmen hat sich an die bequemen "Anhängsel" gewöhnt und ist noch nicht einmal in der Lage, eine harmlose Signatur von einem Attachment zu unterscheiden. Da der Titel eines elektronischen Briefs nicht automatisch etwas über den Inhalt aussagt, müsste der Nutzer des Internet-Dienstes E-Mail sich mit technischen Details vertraut machen, um digitales Unheil rechtzeitig und vollständig erkennen zu können.

Wer muss sich ändern? Nicht nur die Surfer, sondern auch die Anbieter. Für die gilt: "Vermeidung aktive Inhalte." Das betrifft die Internet-Seiten der Berliner Zeitungen, die Internet-Ausgaben der Nachrichtenmagazine "Spiegel" und "Focus", grosse Multimedia-Firmen wie Pixelpark, etablierte Portale wie Yahoo und neue Start-Ups wie Meome. Alle diese Seiten versuchen die Surfer penetrant mit Cookies auszuspähen oder benutzen aktive Programmiersprachen wie Java oder Javascript, manche beides gleichzeitig. Die schaden nicht zwangsläufig, zwingen aber den Surfer, will er die Websites vollständig angezeigt bekommen, permanent die Optionen seines Browser per Hand von "hoch" auf "mittel" oder gar "niedrig" zu verstellen. Wer die Gefahr minimieren will, wird derartige Seiten vermeiden. Die Empfehlungen der Task Force des Innenministers sind also auch ein deutlicher, wenn auch indirekter Rat an die Werbebranche, darauf zu achten, ob Kunden durch Cookies und Javascript auf Websites belästigt, gar ausspioniert und dadurch verärgert werden.

Wer die Gepflogenheiten und die Mentalität der Branche, insbesondere der Webdesigner kennt, wird ahnen, dass niemand die Empfehlungen des Massnahmenkatalogs in die Tat umsetzen wird. E-Commerce-Unternehmen verdienen ihr Geld zu einem grossen Teil damit, Profile des Kunden anzulegen, um diese zielgerecht bewerben zu können. Das funktioniert nur mit aktiven Inhalten. Ein Kunden, die ihre Browser so konfigurieren, dass nichts auf ihre Rechner übertragen werden können, was sie nicht kontrollieren können, sind eine zu vernachlässigende Grösse.

Der Bundesinnenminister geht sogar noch weiter, auch ie Hersteller werden in die Pflicht genommen: Falls in den Produkten "sicherheitskritische Technologien" vorhanden seien, so sei "ausdrücklich" auf die Risiken und damit möglichen Beeinträchtigungen der Sicherheit hinzuweisen. Nimmt man diese Aufforderung ernst, müssten alle Microsoft-Produkte in Zukunft eine Warnung wie auf Zigaretten-Packungen enthalten, etwa: Wer das E-Mail-Programm Outlook benutzt, maximiert das Risiko, sich Viren einzufangen.

Empfehlungen des Bundesinnenminsters: www.bsi.de/taskforce/viren.htm
Bundesamt für Sicherheit in der Informationstechnik: www.sicherheit-im-internet.de
Sicherheitsbulletin des DFN-CERT zur neuen "I Love You"-Version: www.cert.dfn.de/infoserv/dsb/dsb-2000.01.html