Wie man Windows möglichst sicher macht

Windows ist von allen Betriebssystemen das am häufigsten erfolgreich angegriffene, was zum einen an seiner Verbreitung, zum anderen aber auch an seiner grundlegenden UnsicherheitBeitrag: Warum Windows unsicher istLesen Sie diesen Beitrag, wenn Sie zunächst mehr über die grundlegende Unsicherheit von Windows wissen möchten. liegt. In dem vorliegenden Beitrag möchte ich einige Maßnahmen aufzählen und erläutern, mit denen man Windows so weit wie möglich absichern bzw. sicher benutzen kann. Der Beitrag wird bei neuen notwendigen Maßnahmen laufend aktualisiert, Sie können ihn also gerne mit einem Lesezeichen versehen, um schnell wieder darauf zugreifen zu können. Die Verlinkungen im Beitrag verweisen auf frühere Beiträge, die das jeweilige Thema näher beleuchten.

 Antivirenprogramme

Die offensichtlichste Schutzmaßnahme für Windows ist die Installation eines Antivirenprogrammes. Die meisten Hersteller bieten mindestens drei grundlegende Varianten an: eine kostenlose Version, einen kostenpflichtigen Virenscanner und eine Suite mit diversen zusätzlichen Funktionen wie Firewalls, Browserplugins usw.

Man kann keine grundlegende Empfehlung aussprechen, welche Variante jeweils vorzuziehen ist und welcher Hersteller das leistungsfähigste Programm anbietet. Für die Entscheidung sollte man aktuelle Testberichte in kompetenten Fachmagazinen heranziehen. Meine zusammenfassende Meinung ist:

• In den meisten Fällen reicht die kostenlose Version aus. Die kostenlosen Versionen der meisten Programme erhalten zwar seltener Signatur-Updates (nur einmal am Tag statt z.B. stündlich), aber Signaturen verlieren immer mehr an Bedeutung. Schadsoftware wird heutzutage nur noch in Zeiträumen weniger Stunden aktiv verteilt. Bis der Hersteller der Antivirensoftware ein Muster der Schadsoftware bekommt, eine Signatur erstellt und diese an die Programme verteilt, vergehen jedoch eher Tage, wenn nicht gar Wochen. Die Signatur ist also mit großer Wahrscheinlichkeit ohnehin bereits veraltet, egal, mit welcher Updatefrequenz sie verteilt wurde.
  Die beiden weiteren wichtigen Schutzmechanismen der Heuristik und der Verhaltenserkennung werden in den kostenlosen Programmen zunehmend erweitert. Achten Sie darauf, dass die kostenlose Variante diese beiden Funktionalitäten ebenfalls bietet.
• Wenn Sie doch eine Schutzsoftware erwerben möchten, reicht in der Regel der Kauf des reinen Virenscanners. Dieser mag häufiger upgedatet werden und enthält womöglich ausgefeiltere Heuristik und Verhaltenserkennung. Sie gewinnen dadurch vielleicht ein Quentchen größere Sicherheit.
• Für den Kauf einer Suite, die meist eine Personal Firewall, Browser-Plugins und weitere Zusatzprogramme mitbringt, sehe ich in der Regel keinen guten Grund. Die Browser-Plugins funktionieren häufig schlecht, belasten den Browser und haben geringen bis gar keinen Nutzen. Personal Firewalls bieten keinen größeren Nutzen als die bereits in Windows eingebaute Firewall, verwirren den Benutzer aber sehr oft mit Meldungen, die dieser nicht versteht.

Egal, für welche Variante Sie sich entscheiden, Sie müssen sich mit den Meldungen des Programms und seinen Einstellungen vertraut machen, damit Sie Warnungen verstehen und von gefälschten Meldungen im Browser unterscheiden können. Wenn Sie nicht wissen, wie eine Virenwarnung Ihres Programms aussieht, können Sie leicht auf eine gefälschte Warnung hereinfallen, die z. B. als Werbung auf einer Webseite platziert wurde.

Sie sollten zudem regelmäßige Systemscans einstellen und sich nicht nur auf den Live-Scanner verlassen, der die aktuell geöffneten Daten prüft.

Im Falle einer legitimen Meldung gilt: Ruhe bewahren. Wenn das Programm eine Schadsoftware auf einer Webseite oder im Anhang einer E-Mail gefunden hat und dies meldet, dann ist alles gut. Es gibt keinen Grund, in Panik zu verfallen. Das System wurde geschützt, es wurde nicht infiziert.

Wenn eine Infektion gelingt, dann wird sich Ihr Virenscanner zunächst in der Regel nicht melden. Erst, wenn er später durch ein Update die Fähigkeit bekommt, die Infektion zu erkennen, kann er sich -zum Beispiel bei einem vollständigen Systemscan- melden. Er wird dann auch Lösungsvorschläge bieten, z.B. Verschiebung von Dateien in die Quarantäne oder löschen. Sie sollten aber in jedem Fall zunächst einmal nach dem gemeldeten Schädling googeln und herausfinden, was er tut und wie er zu beseitigen ist.

Sehr hilfreich können auf Linux basierende bootfähige DVDs oder USB-Sticks sein, mit denen Sie den Computer statt mit Windows starten und die mit ein oder mehreren Virenscannern das nicht laufende Windows überprüfen. Da Windows nicht läuft, sind auch die Schadprogramme nicht aktiv, und sie können so leichter identifiziert und entfernt werden.

Einstellungen in Windows selbst

Windows selbst ist nicht in allen Fällen optimal konfiguriert und lässt sich auch zu leicht verstellen. Gerne werden sinnvolle Sicherheitsfunktionen z.B. aus Bequemlichkeit abgeschaltet.

Die wichtigste Einstellung, die Sie selbst ändern können und sollten, ist das Einblenden der Dateiendungen. Der hier verlinkte Beitrag erläutert, wie dabei vorzugehen ist. Die Tatsache, dass Windows bekannte Dateiendungen standardmäßig ausblendet und den Typ einer Datei somit unnötigerweise verschleiert, ist eine der Hauptursachen für erfolgreiche Schadsoftware-Infektionen, bei denen die Mitwirkung des Benutzers zur Installation erforderlich ist.

Die Benutzerkontensteuerung (auch UAC genannt) ist das Programm, das sich bei Benutzern mit administrativen Rechten meldet, sobald diese etwas zu tun versuchen, das Windows als administrative Handlung versteht. In der Regel muss man einen Dialog mit OK bestätigen. Schalten Sie die Benutzerkontensteuerung auf keinen Fall ab und senken Sie auch nicht ihre Empfindlichkeit. Gewöhnen Sie sich nicht den Windows-Reflex an (bzw. gewöhnen Sie ihn sich schleunigst wieder ab), der dazu führt, bei Bildschirmmeldungen auf OK zu drücken, ohne auch nur den Versuch gemacht zu haben, die Meldung zu lesen und zu verstehen. Wenn Sie eine Meldung nicht verstehen und Sie insbesondere nicht erwarten, eine zu bekommen, ist „OK“ genau die falsche Antwort.

Achten Sie außerdem darauf, dass die Firewall von Windows aktiv ist, sofern Sie nicht doch eine Suite mit einer eigenen Firewall gekauft haben. Auch andere Sicherheitseinstellungen sollten Sie regelmäßig prüfen, das Wartungscenter von Windows weist auf Probleme hin. Ignorieren Sie diese Meldungen nicht. Genausowenig sollten Sie Updatemeldungen von Windows oder auch anderen Programmen ignorieren. Updates sind wichtig.

Ein System-Programm, das in vielen Fällen unnötig ist, aber hervorragend für Angriffe über Skripte in E-Mail-Anhängen benutzt werden kann, ist der Windows Script Host. JavaScript läuft z.B. normalerweise nur im Browser. Wenn ein solches Skript aber an eine E-Mail angefügt wird, startet ein Doppelklick auf die Skriptdatei den Windows Script Host, der das Skript dann unabhängig vom Browser ausführt. So kann das Skript dann Schadcode aus dem Internet nachladen, ohne den Browser zu bemühen.

Dieses Programm hat für die weitaus meisten Windows-Anwender keinen sinnvollen Nutzen und sollte deshalb deaktiviert werden. Wie das geht, erläutert dieser Beitrag.

Backups

Backups Ihrer Daten auf separaten Datenträgern, die nicht dauerhaft mit dem Computer verbunden sind, sind eine Lebensversicherung für Ihre Daten. Zwei Bedrohungen können Sie auf diese Weise entschärfen: den plötzlichen Festplattentod, bei dem die Festplatte selbst einfach den Geist aufgibt, und Erpressungstrojaner, die Ihre Daten verschlüsseln und nur gegen ein Lösegeld wieder freigeben.

Die richtige Backupstrategie besteht aus einer einfachen Methode der Datensicherung, die Sie vollständig überblicken und verstehen können, und die sich Ihnen auch nach Monaten und Jahren im Ernstfall noch erschließt. Backupsoftware kann hilfreich sein, aber zu oft sehe ich, dass ihre Funktionsweise nicht verstanden wird, ihre Fehlermeldungen nicht gelesen werden usw. Ein Backup, das nicht stattgefunden hat oder das nicht zurückgespielt werden kann, ist sinnlos. Eine simple manuelle Kopie der Daten, die regelmäßig wiederholt wird, ist oft die einfachste und nützlichste Alternative.

Prüfen Sie Ihre Backupstrategie regelmäßig und lassen Sie sie nicht schleifen.

Benutzerkonten sinnvoll einrichten

Eine wichtige Maßnahme, die leider von den weitaus meisten Windowsbenutzern ignoriert wird, ist die Verwendung von unterschiedlichen Konten für Benutzer. Die meisten Windows-Installationen kennen nur ein einziges Benutzerkonto, und dieses verfügt über administrative Rechte und hat kein Passwort oder verlangt es nicht.

Bis Windows XP war aufgrund der Einschränkungen des Systems und fehlender Vorgaben für Programmierer die Benutzung ohne Administratorkonto fast unmöglich. Seit Vista hat sich die Situation diesbezüglich aber gebessert.

In einer vernünftig abgesicherten Windows-Installation sollte es daher ein oder ggfs. mehrere Konten mit administrativen Rechten geben, die aber auch nur für administrative Aufgaben wie Updates und Softwareinstallation genutzt werden sollten.  Für die tägliche Arbeit, das Surfen usw. sollte es für jeden Benutzer des Computers ein eigenes Benutzerkonto geben, das nur mit eingeschränkten Rechten läuft. Sollte eine Schadsoftware sich auf dem Rechner einnisten wollen, während ein eingeschränktes Benutzerkonto aktiv ist, hat auch diese Schadsoftware nur die eingeschränkten Möglichkeiten des Benutzers. Für einen Erpressungstrojaner mag das noch ausreichen, aber viele Methoden von Schadsoftware, sich tief im System zu verankern, scheitern dann.

Wenn ein eingeschränkter Benutzer eine administrative Aufgabe erledigen will, zeigt Windows in der Regel einen Dialog an, in dem das Passwort eines administrativen Benutzers eingegeben werden muss, um die Aktion auszuführen. Wenn solch ein Dialog erscheint, ohne dass eine passende Aktion gestartet wurde, weiß man, dass man diesen Dialog schließen und das Passwort nicht eingeben sollte.

Die Trennung der Benutzer hat auch den angenehmen Nebeneffekt, dass Browserverläufe, Cookies, Passwortmanager und viele Einstellungen individuell und nur für den aktuellen Benutzer zur Verfügung stehen.

Gefahrenquelle Browser

Der Browser ist das Programm, mit dem Sie Webseiten anschauen. Er ist damit das Fenster ins Internet und auch das Fenster, durch das ein Großteil der Schadsoftware einzudringen versucht. Browser gehören deshalb zu den Programmen, die man auf jeden Fall auf aktuellstem Stand halten sollte.

Der Internet Explorer ist ein Sonderfall, da er mit Techniken ausgestattet ist, die ihn zu einem besonders großen Sicherheitsrisiko machen. Benutzen Sie ihn nicht. Vor allem sollten Sie keine Version vor Internet Explorer 11 mehr benutzen, da diese von Microsoft nicht mehr gepflegt werden. Version 11 soll die letzte Version dieses Browsers sein, mit der Technologien wie Active X, die teilweise größere Rechte im System besitzen als selbst Administratoren, endlich zu Grabe getragen werden. Der in Windows 10 verfügbare Browser Edge ist in dieser Hinsicht nicht bedenklich, wenn er auch bisher keine ernstzunehmende Konkurrenz zu Chrome oder Firefox darstellt.

Die Verwendung anderer Browser als derer von Microsoft ist bereits ein Vorteil in Sachen Geschwindigkeit und Sicherheit. Durch Erweiterungen wie Adblocker, JavaScript-Blocker u.ä. kann hier auch noch für zusätzliche Sicherheit gesorgt werden. Firefox hat zudem den Vorteil einer eigenen Zertifikateverwaltung, die sich nicht davon beeindrucken lässt, wenn Windows gefälschte Sicherheitszertifikate untergeschoben werden.

Meine persönliche Empfehlung ist Firefox mit den Erweiterungen AdBlockPlus und NoScript, wobei insbesondere NoScript aber richtig eingestellt werden muss, um das Surferlebnis nicht nachhaltig zu behindern.

Umgang mit E-Mails

E-Mails werden zurzeit wieder in besonders großem Umfang zum Verteilen von Schadsoftware benutzt. Man kann E-Mails grundsätzlich nicht vertrauen. Gefahr droht, abgesehen von Phishing-Versuchen, vor allem durch E-Mail-Anhänge, die vorgeben, ein Dokument zu sein, in Wirklichkeit aber ein Schadprogramm sind, das versucht, Schadsoftware aus dem Internet nachzuladen und auf dem System zu installieren.

Vertrauen Sie E-Mail-Anhängen nicht. Glauben Sie E-Mails nicht, die Sie zu Zahlungen auffordern, Logins zur Überprüfung von Sicherheitseinstellungen usw. verlangen und ähnlichen Dingen. In der Kategorie Sicherheit dieser Seite finden Sie zuhauf Beispiele für derartige E-Mails.

Verzicht auf unsichere Software

Zu guter Letzt sollten Sie, soweit möglich, auf den Einsatz von Software verzichten, die besonders im Kreuzfeuer der Angriffe steht. Die Liste ist nicht besonders lang, prüfen Sie, ob Sie diese Programme wirklich benötigen:

• Internet Explorer: Dieser Browser wurde oben bereits erwähnt. Er lässt sich nicht entfernen, kann aber ignoriert werden.
• Microsoft Office: Wenn Sie nicht wirklich darauf angewiesen sind, ausdrücklich Microsoft Office zu benutzen, gibt es genügend sogar kostenlose Alternativen, wie z.B. Libre Office. Outlook kann ersetzt werden durch Thunderbird. MS Office hat ebenso wie der Internet Explorer tiefe Wurzeln und Berechtigungen im Betriebssystem und seine Makro-Programmierung ist besonders anfällig für Missbrauch. Diese sollten Sie zumindest umfassend einschränken, wenn Sie diese Office-Suite doch benutzen müssen.
• Adobe Flash: ein sehr beliebtes Angriffsziel ist das Flash-Plugin für Browser. Diese Technik veraltet zum Glück zusehends. Wenn möglich, deinstallieren Sie Flash. Nur noch wenige Webseiten benötigen Flash für Grundfunktionen oder gar die gesamte Darstellung der Webseite, wer immer noch solche Seiten betreibt, hat die Entwicklung der letzten 5 Jahre verschlafen. Auch Youtube und andere Portale setzen mittlerweile standardmäßig auf HTML 5 und nicht mehr auf Flash.
  Ein weiterer Pluspunkt des Verzichts auf Flash: Flash kann Supercookies zum Tracken von Benutzerinformationen speichern, die viel leistungsfähiger sind als normale Cookies, von vielen aber unbeachtet bleiben, auch wenn sie sonst auf Privatsphäre und dergleichen Wert legen. Durch die Deinstallation von Flash werden auch diese Supercookies gestoppt.
• Adobe Reader: Das Programm zum Anzeigen von PDFs ist zwar weiterhin beliebt, aber bei weitem nicht das einzige Programm, das PDFs anzeigen kann. Da auch der Adobe Reader gerne angegriffen wird, ist die Verwendung einer Alternative wie dem Foxit Reader bereits ein Schritt Richtung Sicherheit.
• Quicktime: Diese von Apple stammende Technik zur Anzeige von Videos wird von Apple seit neuestem nicht mehr gepflegt und enthält gravierende Sicherheitslücken, die bereits ausgenutzt werden, um Schadsoftware zu installieren. Quicktime sollten Sie dringend von Ihrem System entfernen, falls vorhanden. Es kann wie andere Anwendungsprogramme auch über die Systemsteuerung deinstalliert werden.
• Java: Java ist eine Programmiersprache, die nicht mit JavaScript verwechselt werden sollte. Java ist nützlich, aber wenn Sie keine Anwendungen verwenden, die Java benötigen, können Sie auf Java verzichten. Da es schon länger nicht mehr zum Lieferumfang von Windows gehört, ist es womöglich nicht bei Ihnen installiert. Wenn doch, sie es aber nicht benötigen, können Sie es in der Systemsteuerung deinstallieren.
• Windows: Es ist für regelmäßige Leser meines Blogs keine Überraschung, dass ich von der Benutzung von Windows selbst abrate, wenn dazu keine Notwendigkeit besteht. Absolut jedes andere Betriebssystem ist sicherer. Der Verzicht auf Windows löst fast alle Sicherheitsprobleme, die in diesem Beitrag erwähnt wurden, auf einen Schlag. Natürlich können Sie auch als Apple- oder Linuxbenutzer beispielsweise zum Opfer einer Phishing-Attacke werden; aber die Sicherheitslücke sind dann Sie, nicht Ihr System.

Wenn Sie all diese Ratschläge umsetzen, erreichen Sie einen optimalen, wenn auch nicht hundertprozentigen Schutz Ihres Windowssystems. Dies enthebt Sie aber nicht der Verantwortung, weiterhin wachsam zu sein und sich auf dem Gebiet der Sicherheit möglichst regelmäßig zu informieren. Dabei geben Ihnen die Beiträge dieser Seite, wie ich hoffe, auch weiterhin eine wertvolle Hilfestellung.