PC-Sicherheit - Tipps & Tricks

Produktbewertung des Autors:   

Pro:	Sicherheit im Netz ist immens wichtig
Kontra:	Manchmal vergisst man das Einfachste

Empfehlenswert?

ja

Kompletter Erfahrungsbericht

Gerade sind die Nachrichten über einen neuen Bundestrojaner durch die Medien geeilt und jeder, der etwas davon zu verstehen glaubt, prüft nun seinen PC, ob er auch sicher genug sei. Liebe Leute, habt Ihr wirklich Grund zu der Annahme, dass irgendeine Sicherheitsbehörde hinter Euch her sei? Viel wichtiger ist doch die Feststellung des Computer Chaos Clubs, dass dieser Trojaner so schlampig programmiert sei, dass ihn fast jeder Hacker zu neuen Schandtaten im eigenen Interesse nutzen könne. Das ist zwar ein Skandal, aber leider wird dabei übersehen, dass täglich Tausende von Servern im World Wide Web nur zu dem Zwecke arbeiten, PC's mit offenen Eingangstüren und interessantem Inhalt dahinter zu finden. Wer hiergegen etwas tun will, muss als erstes wissen, dass die Bösen den Guten immer einen Schritt voraus sind und dass es deshalb wichtig ist, mitzulaufen, damit aus dem Schritt nicht ein Galopp wird. Was tun, sprach Zeus, der bestimmt noch ohne Internet auskam. Zuerst sollte man sich nicht verrückt machen und sich einmal damit beschäftigen,

was man eigentlich alles im Internet tut,

wie man mit dem Internet kommuniziert und was man eigentlich darüber weiß und

wie der eigene PC dabei eigentlich funktioniert.

Erst dann lohnt es sich, über den Kauf entsprechender Sicherheitssoftware nachzudenken und immer dabei zum berücksichtigen, dass eigenes Denken mehr wert ist als die teuerste Software.

Ist Offenheit immer gut?

Als ciao-User weiß man natürlich, das man im Internet kommuniziert, und das nicht nur über den Browser sondern auch mittels E-Mail. Der Gemeinsamkeiten werden immer mehr, da wird getwittert und über Facebook kommuniziert, persönliche Daten werden ausgetauscht und veröffentlicht, natürlich nur zur Nutzung für Gutmenschen gedacht. Auch E-Mails bringen tolle Informationen und Angebote, oftmals mit interessanten Anhängen. Doch wer macht sich Gedanken darüber, dass auch der Absender der E-Mail gefälscht sein kann wie letztendlich der brisante Anhang? Wer fragt beim Absender nach, ob die Sendung wirklich von ihm stammt? Schon ein wichtiger Sicherheitspunkt ohne teure Software – Nachdenken, bevor man etwas öffnet, bei dem man nicht sicher sein kann. Gleiches gilt für verlockende Freewareangebote von nicht zertifizierten Anbietern. Lieber auf ein solch verlockendes Angebot verzichten, als ein dickes Ende zu erleben. Schaut einfach mal auf den Seiten bekannter Computerzeitschriften nach. Sie bieten viele sichere Downloads an.

Auch das Onlinebanking ist ein beliebter Angriffspunkt. Hier sollten in erster Linie die von den Banken und Sparkassen angebotenen Möglichkeiten genutzt werden. SMS-TAN, HBCI mit Kartenleser, Prüfen der zertifizierten Sicherheit sind gute Möglichkeiten neben guten Sicherheitsstandards im PC.

Wie kommt das Internet zu mir?

Auch im Zeitalter des Mobilsticks ist die DSL-Verbindung eine gute Möglichkeit, nicht nur schnell, sondern auch sicher mit dem Internet zu kommunizieren. Dabei weiß sicher jeder, dass er dazu einen DSL-Router braucht, ob mit oder ohne WLAN. Wie funktioniert dieses Ding eigentlich, was muss ich an ihm einstellen, damit er nicht zum Risikofaktor wird? Dass nach Anschluss an das Telefonnetz und den PC die Benutzerdaten des Providers eingegeben werden, sollte klar sein. Dass die Standardadresse der meisten Router 192.168.1.0 oder ähnlich ist, sollte zum Nachdenken über Benutzername und Passwort anregen, ansonsten ist hier das erste Scheunentor offen. Also ein möglichst kompliziertes Passwort mit Sonderzeichen eingeben und gut notieren.

Verfügt der Router über WLAN und man möchte es nicht nutzen, dann im Router-Menü deaktivieren. Ansonsten bereits beim Kauf darauf achten, dass ein für High-Speed-Internet und HD-Videos tauglicher Router nur mit dem Funkstandard 802.11n funktioniert. Die billigeren g-Modelle scheitern schon an der ersten dicken Wand. Die Einstellungen für das Heimnetz unterscheiden sich auch bei den n- und g- Modellen. Sowohl unter 11N SSID als auch unter 11G SSID wird ein Name für das Netz vergeben. Dieser kann bei Bedarf später versteckt werden, wird aber auf jeden Fall benötigt. Danach werden die Funkkanäle festgelegt, bei 11N der Standard „44“, bei 11G wird „automatisch“ aktiviert. Als Region wird Europa aktiviert, auch wenn USA mehr Leistung bringt, es ist bei uns verboten.

Nun geht es zur Sicherheit. Auch wenn es WEP, WPA und WPA2 gibt, sollte man nur WPA2 nutzen. Von Hackern geknackt wurden übrigens schon alle drei. Sinnlos? Nein. Unter WLAN-Konfiguration vergeben wir für „WPA-PSK (TKIP) + WPA2-PSK (AES)“ ein mindestens 15stelliges Passwort , auch mit Sonderzeichen und bunt gemischt. Damit es nun die Hacker richtig schwer haben, aktivieren wir die MAC-Filterung. Das hat nichts mit MCDonalds zu tun, sondern ist die Serienadresse eines jeden Netzwerkgerätes. Unter Windows finden wir sie leicht über die Terminaleingabe (Ausführen: cmd) ipconfig/all unter der physikalischen Adresse. Im erweiterten Routermenü wird dies oft vereinfacht durch die Option „Zugriffsliste anpassen“.

Moderne Router verfügen außerdem über eine Hardwarefirewall (NAT), die auch Einstellmöglichkeiten für zulässige und unzulässige Ports anbietet. Dazu gehören jedoch etwas spezifischere Kenntnisse. Der Normalverbraucher sollte sich bei Unsicherheit mit dem WLAN auf kabelgebundene Verbindungen beschränken und auf jeden Fall das Zugangspasswort zum Router neu und sicher festlegen.

Zehn goldene Regeln für die PC-Sicherheit

Nachdem wir nunmehr ein mehr oder weniger sicheres Signal am PC anliegen haben, sollten wir uns Gedanken machen, wie wir den PC mit mehr oder weniger Aufwand sicher gestalten können. Dazu müssen wir uns ein wenig mit der Funktionsweise des PC beschäftigen. Alles, was an Programmen im PC abläuft, basiert auf dem Betriebssystem. Also ist dies ein beliebter Angriffspunkt für Hacker. Ziemlich sicher, wenn auch nicht absolut, ist, wer Linux nutzt. Doch leider funktionieren viele Programme nicht unter Linux, sondern nur unter Windows. Eine clevere Variante ist, ein Mehrbetriebssystem mit Windows und Linux einzurichten, wobei man Linux nur für das Internet nutzt. Grenzen ergeben sich allerdings z.B. beim Onlinebanking, wenn man ein spezifisches Bankingprogramm nutzt, sofern es nicht unter VMWare installiert wird. Entscheidet man sich der Einfachheit halber dann doch für Windows, sollte man zuerst beachten, dass Microsoft selbst versucht, erkannte Schwachstellen zu heilen, weil es nun mal das beliebteste Angriffsziel ist. Damit wären wir gleich beim 1. Punkt.

1. Betriebssystem und Anwendungssoftware immer auf dem aktuellen Stand halten

Für Windows ist das ganz einfach. In der Systemsteuerung automatische Updates aktivieren und schon ist das Problem gelöst. Allerdings sollte man hin und wieder in Abhängigkeit von der Zeiteinstellung nachschauen, was an neuen Updates anliegt, insbesondere wichtige, aber auch empfohlene.

Zur Anwendersoftware ist es gar nicht so einfach, immer den Überblick zu behalten. Teilweise werden in Abhängigkeit von den Programmeinstellungen Updates angeboten oder auch nicht. Hier hilft der von mir bereits vorgestellte kostenlose Secunia Personal Software Inspector, der automatisch im Hintergrund die Programme überprüft und Updates herunterlädt oder auch nur informiert.

Diese Aktualisierungen sind sehr wichtig, da hierdurch oft erkannte Sicherheitslücken geschlossen werden.

2. Habe ich Recht oder besser Rechte?

Es ist oftmals zur bequemen Gewohnheit geworden, mit dem standardmäßig eingerichteten Benutzerkonto alles zu machen, ohne darüber nachzudenken, dass dieses Administratorrechte besitzt. Damit hat ein Eindringling sofort die gleichen Rechte wie ein Admin. Den Rest kann sich jeder selbst denken. Also für das Surfen im Internet ein eigenes Konto mit eingeschränkten Rechten basteln, inclusive der Sperrung der Datei- und Druckerfreigaben. Wie machen wir das nun am Besten? Das hängt natürlich wieder vom Betriebssystem ab. Bei XP geht das leider nur in der Professionalversion, bei Win 7 ist es einfacher. Ich habe mir einfach ein neues Konto „Surfen“ mir eingeschränkten Rechten angelegt, auf dem ich ins Internet gehe, meine E-Mails verwalte und Schreibarbeiten für ciao erledige.

Datei- und Druckerfreigaben sollten auf dem neuen Standardnutzer gelöscht werden, sofern nicht bestimmte Datenbereiche im Netzwerk benötigt werden. Dann aber nicht Laufwerke freigeben, sondern nur Unterordner oder Dateien. Macht zwar mehr Arbeit, ist aber sicherer.

3. Ist mein Passwort sicher?

Auch wenn im vorigen Punkt schon auf Passwörter eingegangen wurde, ist das eine sehr wichtige Regel für alle Programme, die einen Passwortschutz anbieten. Passwörter sollten auch nicht über einen längeren Zeitraum beibehalten werden. Bei sensiblen Programmen, wie Bankinganwendungen, sollte man sie von Zeit zu Zeit ändern. Auch beim Einsatz eines Bildschirmschoners sollte einer mit Passwortschutz ausgewählt werden. In der Regel läuft der Bildschirmschoner ja, wenn man nicht am PC aktiv bzw. anwesend ist. Ein beliebter Angriffspunkt bei Hackern.

4. Lieblingsfeind Microsoft

Wenn wir uns im Internet bewegen, sei es beim Browsen oder per E-Mail, dann sind die Programme von Microsoft die beliebtesten Angriffsziele. Also sollte man über Alternativen, wie z.B. Firefox, nachdenken. Ich will damit nicht die Qualität vom Internetexplorer von Microsoft in Zweifel stellen, aber er enthält so viele spezifische Einstellungen, dass der genervte Standarduser bei den Standardeinstellungen verbleibt. Und das ist kreuzgefährlich. Überhaupt sollte man sich gründlich über die Einstellmöglichkeiten seines Browsers bzw. E-Mail-Programmes informieren. Mit den richtigen Einstellungen wird er zwar manchmal etwas langsamer, aber hier geht Sicherheit vor Tempo. Zur Verbesserung der Sicherheit gibt es bei den Mozillaprodukten eine ganze Reihe von Addons, die spezifische Einstellungen übernehmen.

Aber woher drohen uns beim Surfen besondere Gefahren? Die meisten Angriffe erfolgen von Seiten mit aktiven Inhalten. Dabei treffen wir auf die Begriffe Java, Javascript, Jscript, VBcript und ActiveX. Etwas verwirrend?

Java ist eine mächtige Programmiersprache, die heute nicht mehr wegzudenken ist. Da die mit ihr geschaffenen Javaapplets Grundlage vieler Webseiten sind, ist hier natürlich wieder ein beliebtes Angriffsziel. Java gilt als ziemlich sicher, wird aber aus gutem Grund immer wieder aktualisiert. Daher sollte man auf der Website von Sun hin und wieder mal nachschauen, ob eine Aktualisierung da ist oder dies z.B. Secunia Personal Software Inspector überlassen.

Javascript, Jscript und Vbscript sind Programme zur attraktiven Gestaltung von Webseiten z.B. zur Steuerung von Bildfolgen oder Öffnen von Popups. Steuerung lässt hier schon wieder die Alarmglocken schrillen. Stelle ich in meinem Browser Javascript ab, dann sehe ich vieles nicht auf dem Schirm. Doch läuft das auf jedem Browser gleichermaßen? Beim Internetexplorer lässt sich Javascript nur gemeinsam mit Vbscript (Visual Basic Script) aktivieren bzw. deaktivieren. Das ist ein hohes Sicherheitsrisiko, da über VBscript Befehle mit Schreibrechten auf dem eigenen PC ausgeführt werden können. Dagegen kennt Mozillas Firefox VBscript nicht. Fazit: Javascript beim Internetexplorer besser deaktivieren, beim Firefox mit der notwendigen Vorsicht aktivieren. Das Addon Noscript hilft hier bei der Auswahl sicherer und weniger vertrauenswürdiger Seiten.

ActiveX ist der nächste Risikofaktor. Von Microsoft in Konkurrenz zu Java entwickelt, nützt es Microsoft über sogenannte Controls zur Nutzung von Systemeigenschaften von Windows auf Webseiten. Logisch, dass hier eine große Missbrauchsgefahr im Zusammenhang mit Trojanern und Viren besteht. Die einfachste Lösung wiederum – Nutzung von Firefox ohne ActiveX, dafür mit Java.

Wer dennoch nicht vom Internetexplorer lassen will, dem empfehle ich die Website http://www.blafusel.de/computer/ie.html, wo detaillierte Tipps zur sicheren Einstellung gegeben werden.

Noch ein Wort zu Cookies. Eigentlich sind sie keine große Gefahr, können aber zum Ausspähen des eigenen Surfverhaltens ausgenutzt werden. Man sollte sich die Einstellungen zu Cookies im Browser genau anschauen und entscheiden, ob man sie nicht besser nach jeder Sitzung automatisch löschen lässt.

5. Neugier ist nicht nur eine weibliche Eigenschaft

Was habe ich denn da für eine E-Mail mit einem verlockenden Anhang bekommen? Der neuste Song von … oder ein paar tolle Bildchen? Warum soll ich denn nicht auf Tauschbörsen interessante Angebote nutzen oder ein kostenloses Programm schnorren? Neugier hat auch etwas mit Gier zu tun, nicht umsonst steht es im Wortstamm. Solcherlei verlockende Angebote setzen oftmals die Vernunft schachmatt und das spätere Erwachen ist meist böser Natur. Ob ich mir eine Schadsoftware eingefangen habe oder auf ein Lockangebot hereingefallen bin, ist letzten Endes egal. Also beim Surfen immer auf die notwendige Distanz achten.

6. Wie sicher ist mein Dateisystem?

Ich weiß nicht, wer heute noch mit FAT anstelle von NTFS arbeitet, aber vorsichtshalber spreche ich das Thema einmal an. Wenn ich vorhin von Vergabe von Zugriffsrechten sprach, dann haut das natürlich erst unter NTFS hin. Manchmal stellt man dies erst fest, wenn man auf ein externes USB-Laufwerk mit Daten zugreift, das noch FAT-formatiert ist. Diese Daten liegen damit natürlich für Jedermann offen. Auch hier gibt es Möglichkeiten, die Platte ohne Datenverlust auf NTFS umzuformatieren. Ich fertige zuvor aber sicherheitshalber eine Datensicherung an, man weiß ja nie. Wie es geht? Einfach über Start, Ausführen, cmd [OK] das olle DOS-Fenster aufrufen und am Prompt eintippen
convert x: /fs:ntfs. Schon passierts, zuminest unter XP. Unter Win 7 habe ich es noch nicht probiert, sollte aber ebenso gehen. Zum besseren Verständnis sollte man sich vorher mit convert/? Die möglichen Zusatzbefehle anschauen und zu versuchen, sie zu verstehen.

7. Von Ports, die auch Häfen sind

Jedes Programm, das nach außerhalb des PC kommunizieren möchte, muss dazu bestimmte Ports öffnen. Meister dabei sind zahlreiche Dienste des Betriebssystems, die so manche Information nach außen tragen, von der wir nichts wissen. Also sinnvolle Datenhafensperre einrichten. Auch wenn ein offener Port nicht automatisch als Einfallstor für einen Angreifer zu betrachten ist, kann ein Programm oder ein Dienst auf dem PC diesen Port offen halten und z.B. Trojanern Einlass gewähren. Jeder offene Port ist somit ein Risikofaktor. Die Systemsteuerung ermöglicht uns unter Verwaltung – Dienste einen Überblick über alle aaktiven und inaktiven Dienste. Doch wer sagt uns, welche wir abschalten können? Z.B. XP-Antispy, das uns hilft, zahlreiche Informationsdienste von Microsoft abzuschalten und damit einige Lücken zu schließen. Grundsätzlich gilt aber, dass Ports erst von Programmen geöffnet werden und es für den Laien nahezu unmöglich ist, herauszufinden, welche Ports er über die Firewall blockieren kann, ohne sein gesamtes System lahmzulegen. Interessehalber kann man über http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1 seine offenen Ports mal scannen lassen, um anschließend zu versuchen, diese zu verstehen. Ich habe diesen Scan sowohl für meinen Router als auch für mein Betriebssystem durchführen lassen und nach Abschaltung aller Programme im Autostart wiederholt. Das Ergebnis blieb unverändert. Die bei Heise verfügbaren Informationen ließen aber den Schluss zu, dass die entsprechenden Ports durch eine Firewall überwacht werden.

Wer sich hier nicht auf die automatischen Einstellungen seiner Firewall verlassen will, sollte sich aus der Systemsteuerung die Windowsdienste mal mit ihren Einstellungen ausdrucken, dann lesen und nachdenken. Bei solchen Spielchen pflege ich immer zuvor einen Systemwiederherstellungspunkt zu setzen.

Für XP gibt es auf allen möglichen Portalen, z.B. Heise, chip.de, ein kleines Tool zum Abschalten unnötiger Windowsdienste zum Download, für Win 7 findet sich unter http://www.windows-7-forum.net/windows-7-anpassen-individualisieren/350-windows-7-unnoetige-dienste-abschalten-deaktivieren.html eine gute Anleitung.

8. Systemwiederherstellung und Datensicherung

Auch wenn ich hier langsam zur Gebetsmühle mutiere, richtig weh tut es meist, wenn gar nichts mehr geht und das System neu aufgesetzt werden muss. Dann hilft manchmal der Start mit einer Rettungs-CD und das anschließende Setzen eines früheren Wiederherstellungspunktes, aber nur manchmal. Wenn neu aufgesetzt werden muss, dann sind in der Regel die Daten futsch, wenn man nicht regelmäßig ein Backup macht. Möglichst auf einem externen Datenträger. Es gibt auch mannigfaltige Software, die das für einen automatisch übernimmt, meist als Zugabe zu einer externen Speicherplatte. Aber auch hier ist eigenes Denken gefragt. Nur mit den notwendigen Einstellungen haut dieses System hin. Wenn ich Backup-Zeiten einstelle, zu denen der PC nie an ist, dann passiert eben nichts. Klingt ziemlich doof? Die meisten Fehler, die man macht, stellen sich hinterher als ziemlich doof heraus.

9. Scheunentore zu!

Auch wenn wir im Router eine Hardwarefirewall haben, schadet eine zusätzliche im PC nicht, selbst wenn es die windowsinterne ist. Natürlich erklärt jeder Hersteller, dass seine Brandmauer die beste der Welt ist. Vollkommene Lösungen gibt es aber ebenso wenig wie vollkommene Menschen. Und hier liegt schon der größte Minuspunkt einer Firewall, der Mensch, konkret der User. Wer kennt sich schon mit den komplizierten Filterregeln in einem Netzwerk aus – am besten die Hacker. Und was nützt eigentlich eine Softwarefirewall auf dem System, wenn der Angreifer bis zu ihr vordringen kann, ehe sie wirkt? Er ist damit schon im System. Wie weit er dann noch kommt, hängt nicht von der Firewall, sondern von der Vollkommenheit ihres Nutzers ab.

Meiner Meinung nach hat eine Personal Firewall (Softwarefirewall) einen einzigen Vorteil, den ihr Name schon nennt. Das Personal hat Gelegenheit, sich bei intensiver Beschäftigung mit ihr einiges über die Wirkungsweise der Datenströme im Netzwerk zu informieren und damit Einiges besser zu verstehen, was ich unter den vorherigen Punkten erläutert habe. Wenn das klappt, dann ist mit den richtigen Einstellungen im PC eine Firewall wirklich überflüssig. Ansonsten empfehle ich ein Sicherheitspaket, wie z.B. Internet Security von WISO, in dem neben der Antivirensoftware eine Firewall mit integriert ist. In solchen Paketen sind viele Einstellungen übergreifend und erleichtern dem Laien die Arbeit etwas. Ganz ohne eigenes Denken ist aber auch hier das Geld zum Fenster hinausgeworfen.

10. Mein PC hat sich erkältet

Last not least die bereits angesprochene Problematik der Antivirensoftware. Ein Virenschutzprogramm sollte immer im Hintergrund des Rechners laufen und mindestens den Netz- und E-Mailverkehr überwachen. Wenn es dann noch Appetit auf Würmer, Trojaner, Rootkits und dergleichen hat, schön. Viel wichtiger ist aber auch hier der Appetit des Nutzers auf Beschäftigung mit demselben. Was nützt mir das teuerste Antivirenprogramm, wenn seine Datenbanken veraltet sind? Bei Antivirenprogrammen denke ich eh immer an das schöne Feuerwehrsignal „Zu spät, zu spät“. Eine regelmäßige, möglichst automatisierte Aktualisierung (Update) ist das A und O, das durch regelmäßige Suchläufe, hin und wieder auch die schön lange dauernden über das ganze System, ergänzt wird. Auch hier wiederum die Einstellung von Prüfzeiten und Updatezeiten genau überdenken, damit es nicht ins Leere läuft. Ich lasse meine Updates stündlich prüfen, da holt es übersprungene Zeiten der Abschaltung sicher nach und ausgebremst hat es mich noch nie. Vergesst auch nicht den Echtzeitschutz zu aktivieren, sofern er angeboten wird. Wenn nicht , habt Ihr das falsche Programm.

Auch wenn ich letztens Threatfire ein wenig niedergemacht habe, so schlecht ist es nicht. Es verträgt sich nur leider nicht mit jedem anderen Programm. Daher vor jeder Neuinstallation eines Programmes einen Wiederherstellungspunkt setzen, wenn es dann Negativauswirkungen zeigt, ist der Fehlerteufel schnell gefunden und beseitigt. Ansonsten ist Threatfire aber eine wirksame Ergänzung zu Antivirenprogrammen. Erwartet bitte von mir keine Empfehlungen dazu, nur so viel, es gibt auch gute kostenlose Lösungen.

Ein kleines Fazit sollte auch persönliche Schlussfolgerungen enthalten

Nehmt es mir bitte nicht übel, wenn ich oftmals etwas zu sehr auf dem eigenen Verstand herumgetreten bin. Aber leider ist es so, dass Anwender mit fehlendem Sicherheitsbewusstsein oder mangelnder Sorgfalt weitaus mehr Schäden als alle Angreifer aus dem Internet zusammen verursachen. Es ist nun einmal so, dass das Internet ein Teil des normalen Lebens geworden ist und im normalen Leben gibt es auch keine hundertprozentige Sicherheit. So wie man sich vieles im Leben nicht erkaufen kann, ist es auch mit der Sicherheit im Internet. Deshalb kann nur unser gesunder Menschenverstand entscheiden, was auch hier für uns gut und weniger gut ist. Ich habe versucht, einige Gesichtspunkte zu diesem Thema zu beleuchten, vor allem auch aus meiner eigenen Erfahrung, und bin bisher damit immer gut gefahren. Einige Male bin ich auch schon auf die Schnauze gefallen, habe aber daraus gelernt. Bin eben auch nur ein Mensch. Ich finde es gut, dass hier auf ciao immer wieder einmal über Erfahrungen mit Anwendersoftware berichtet wird, denn Sicherheit mit dem PC ist für unsere Arbeit bzw. unser Hobby hier bei ciao eine entscheidende Grundlage. Mit dem Vergeben von Sternen tue ich mich heute etwas schwer, es wäre wahrscheinlich etwas Wunschdenken dabei. So entscheide ich mich für die gute Mitte und runde etwas auf drei auf.