 Optimierung der Sicherheit auf Computer mit MS Windows – Tipps und Hinweise Vorbemerkung: Überzeugte Anwender und Administratoren der Unix-, Linux- oder BSD – Fraktion behaupten unermüdlich, dass ein MS BS prinzipiell unsicher ist. Aber ist das wirklich so? Dieser Beitrag unterstellt jedenfalls, dass Sie sich bereits für einen Computer mit MS Windows entschieden haben (aus welchen Gründen auch immer, vielleicht ist z.B. Ihre wichtigste Anwendung gar nicht für andere Plattformen erhältlich …). Unterschiede zwischen den Sicherheits-Konzepten von MS Windows, Linux, Apples OS X, etc. werden jedenfalls im Artikel nicht behandelt. Ebenso wenig wird auf Fragen aus dem Bereich "Gesunder Menschenverstand (Brain)" eingegangen. Dessen Existenz wird einfach als gegeben und dessen Anwendung als selbstverständlich vorausgesetzt. Dieser Text will und wird dem ideologischen Fettnapf namens Sicherheit von MS Windows Computern konsequent ausweichen. Mehr Informationen über den überaus ermüdenten und ziemlich sinnfreien "Krieg der Systeme" finden Sie unter anderem auf meiner Website Ralph-Lehmann.de Aber nun – zur Sache! Auf einem Computer sollten nur die tatsächlich benötigten Softwarepakete installiert sein. Zur Sicherung des Computers sollten Sie sich primär dafür sorgen, dass dieser lediglich von Ihnen wirklich benötigte Programme enthält. Alle Programme, die darüber hinaus auf Ihrem PC installiert sind, stellen unnötige Sicherheitslücken dar. Es ist deshalb äußerst wichtig, dass Sie entweder die von Ihnen nicht benötigten Programme vom Computer deinstallieren, oder aber das Betriebssystem und die von Ihnen tatsächlich benötigten Programme manuell und sauber neu installieren. Bedauerlicherweise werden fast alle der derzeit verkauften Computer mit MS Windows nicht nur mit vorinstalliertem Betriebssystem ausgeliefert. Gewöhnlich ebenfalls vorinstalliert sind darüber hinaus eine Vielzahl von Softwarepaketen, die Sie tatsächlich nie einsetzen werden. In der Regel dürfte die Entsorgung der von Ihnen nicht benötigten Tools, Demos, 60-Tage-Testversionen, etc. einen erheblichen Zeitaufwand verursachen. Deshalb ist es meistens einfacher, den Computer mit MS Windows von Grund auf und anhand der eigenen Bedürfnisse neu aufzusetzen. Am besten verwenden Sie zur Einrichtung des Windows-OS statt dem vom Hersteller mitgelieferten Wiederherstellungs-Medium eine Original Windows CD bzw. DVD entsprechend der von Ihnen lizenzierten Edition (oder eine DVD, die sämtliche Editionen umfasst). Benutzen Sie die Medien des Computerherstellers nur zur Installation der benötigten Gerätetreiber (falls überhaupt notwendig, denn Windows 7 kennt zahlreiche Geräte bereits "von Haus aus"). So können Sie vermeiden, dass die zahlreichen o.g. und oft sehr zahlreichen Softwarepakete installiert werden, welche zwar der Quersubventionierung des Computerherstellers dienlich sind - für Sie hingegen allerdings keinerlei Nutzen haben dürften. Als Lohn ihrer Sorgfalt erhalten Sie ein schlankes, übersichtliches und mit Sicherheit deutlich schnelleres System. Halten Sie die auf dem Computer mit MS Windows installierten Programme aktuell. Während der Einrichtung von MS Windows werden Sie gefragt, ob Sie Ihr System automatisch "auf dem Stand" halten wollen. Falls Sie dem zustimmen (in der Regel sollten Sie dies auch!), bedeutet das allerdings noch nicht, dass alle Anwendungen von Microsoft ebenfalls automatisch aktualisiert werden. Hierfür ist nämlich die Aktivierung von Microsoft Update erforderlich, und diese müssen Sie explizit durchführen. Bei dieser Gelegenheit sollten sie auch gleich konfigurieren, dass neben den Sicherheits-Updates die von Microsoft lediglich empfohlenen Updates ebenfalls angewandt werden. Bitte behalten Sie im Hinterkopf, dass sich Microsoft um die Anwendungen von anderen Anbietern gewöhnlich nicht kümmert. Zwar bringen einige dieser Programme (z.B. von Adobe oder Google) ihren eigenen Update-Automatismus mit, viele andere müssen Sie jedoch manuell auf dem aktuellen Stand halten. Es ist deshalb nicht die schlechteste Idee, sich der Dienste von Tools zu bedienen, die sämtliche installierten Programme auf dem Computer im Auge behalten. Als Beispiel sei an dieser Stelle das Überprüfungswerkzeug namens "Updatecheck" (eine Software der Firma Secunia) genannt, dass im Sicherheitsbereich von Heise online kostenlos verfügbar ist. Beziehen Sie Anwendungen von anderen Anbietern nur aus seriösen Quellen. Wenn Sie im stationären Handel Software erwerben, können Sie davon ausgehen, dass diese keine vorsätzlich schädlichen Algorithmen enthält. Ebenso können Sie CDs und DVDs vertrauen, die zum Beispiel beim Kauf von gängigen Computerzeitschriften mitgeliefert werden. Sollten Sie Ihre Software online beziehen, ist wesentlich mehr Vorsicht angezeigt. Achten Sie darauf, nur Programme zu installieren, die Sie von bekannten Plattformen wie etwa Heise online, Chip, PC Welt usw. bezogen haben. Vergewissern Sie sich im Zweifel, dass Sie sich wirklich auf der Website des von Ihnen gewählten Anbieters befinden! Installieren Sie dagegen nie Software, die Ihnen zum Beispiel ungefragt per E-Mail angeboten worden ist. Benutzen Sie ein eingeschränktes Benutzer-Konto ohne die Rechte eines Systemverwalters. Verwenden Sie für die tägliche Arbeit ein Konto, das nicht zur Installation neuer Programme berechtigt ist und keine Manipulationen am System durchführen kann. So können Sie zuverlässig vermeiden, dass zum Beispiel durch einen versehentlichen Klick auf einer dubiosen Website Ihr Computer mit schädlicher Software infiziert wird. Ziehen Sie ernsthaft in Betracht, die Ausführung von Programmen durch Systemrichtlinien weiter einzuschränken. Verhindern Sie zum Beispiel die Ausführung von Software, die nicht im Windows Verzeichnis oder im Programmverzeichnis liegen. Die Ausführung unerwünschter Programme lässt sich so in der Praxis so gut wie sicher ausschließen. Aktivieren Sie die eingebaute Firewall. Seit Windows XP liefert Microsoft eine eingebaute Firewall mit. Der Windows Paketfilter funktioniert erfreulich zuverlässig und drängt sich nicht in den Vordergrund. Er ist deshalb bestens geeignet, um Ihren sauberen Computerweiterhin sauber zu halten. Mitunter wird bemängelt, dass die Windows Firewall nicht in der Lage sei, einen bereits kompromittierten PC daran zu hindern, hinter dem Rücken des Benutzers unkontrolliert Daten ins Internet zu versenden. Hierzu sei allerdings angemerkt, dass diese Behauptung zum einen seit dem Erscheinen von Vista grundsätzlich nicht mehr korrekt ist. Wesentlich wichtiger jedoch ist, dass der auf einem kompromittieren PC laufenden Sicherheitssoftware sowieso nicht vertraut werden kann. Die Verhinderung ungewollten Daten-Versands in Richtung Internet kann deshalb prinzipiell nicht zuverlässig funktionieren. Darüber hinaus erscheint zweifelhaft, ob die unablässige Meldung von vermeintlichen Attacken aus dem Internet (wie es bei vielen Security-Suites gängige Praxis ist) der Sicherheit eines Windows Systems tatsächlich zuträglich ist. Nutzen Sie einen Virenschutz-Programm als zusätzliche Sicherheitsebene. Im Prinzip könnten Sie bei Beachtung der bisherigen Abschnitte auf den Einsatz eines Virenscanners verzichten. Allerdings zeigt sich in der Praxis oft, dass Sicherheitskonzepte Mängel haben können und auch ein umsichtig handelnder Computerbenutzer nicht selten Fehler macht. Die Verwendung eines soliden Programms zur Abwehr schädlicher Software ist deshalb generell nicht die schlechteste Idee. Bedenken Sie außerdem, dass Sie im Fall eines vermeintlich von Ihnen verursachten Schadens (z.B. wenn von Ihrem kompromittierten Computer ohne Ihr Wissen urheberrechtlich geschütztes oder strafrechtlich relevantes Material in alle Welt verbreitet wurde … ) von einem Richter gefragt werden könnten, ob Sie wirklich alles in Ihrer Macht stehende unternommen haben, um Ihren PC nach den gängigen Regeln der Technik abzusichern. Ralph Lehmann |
