Sicherheitsratgeber

10 Grundregeln für ein sicheres System

18.06.2010 von Christian Löbering
System und Software ständig aktualisieren, als eingeschränkter Benutzer arbeiten, nur Tools bekannter Quellen installieren: Wer solche Grundregeln beachtet, spart sich die Sicherheitssoftware.
Je mehr Software Sie auf Ihrem Windows-Rechner installiert haben, desto größer ist das Risiko einer Sicherheitslücke.

Das Thema Sicherheit ist eine Geldmaschine, Paranoia ein Geschäftsmodell. Susi-Sorglos-Schutz-Tools für den Privat-PC haben einen großen Markt. Solche Tools vermitteln dem Verbraucher das Gefühl, absolute Sicherheit sei käuflich. Das ist falsch: Absolute Sicherheit ist eine Illusion, ein vernünftig geschütztes System allerdings keineswegs. Im Gegenzug bedeutet Schutz aber auch immer, auf Freiheiten zu verzichten. Wenn Sie die Tür offen lassen, kann die beste Alarmanlage der Welt nichts gegen Einbrecher ausrichten.

Wer diese Regeln verinnerlicht, entzaubert Malware
Ausschlaggebend ist vor allem ein verantwortungsvoller Umgang mit dem PC, gerade wenn er per Internet mit der ganzen Welt verbunden ist. Die Leitsätze dafür haben wir im Folgenden in Form von 10 Grundregeln zusammengefasst. Wenn Sie diese verinnerlicht haben und ausnahmslos anwenden, ist Ihr System unter Windows 2000, XP und Vista mindestens genauso gut geschützt wie durch den Einsatz eines Spezial-Tools. Die positiven Nebeneffekte dabei: Sie müssen sich nicht blind auf eine Software verlassen, die selbst fehlerhaft sein kann und deren Funktionalität nicht transparent ist. Außerdem nehmen Sie der Malware ihren Schrecken. Ein Blick auf die Angriffs-Strategien zeigt recht schnell, dass auch hier nur mit Wasser gekocht wird.

1.: Aktualisieren Sie Ihr System regelmäßig

Entwickler von Malware möchten viele Rechner erreichen. Deshalb entwickeln sie ihren Code für möglichst populäre Systeme. Derzeit sind das vorwiegend die aktuellen Windows-NT-Versionen (2000, XP und Vista). Falls Sie eine davon nutzen, stehen Sie im Fadenkreuz der Viren-Industrie und sollten das System stets mit allen nötigen Sicherheits-Updates versorgen. Am einfachsten geht das über "Automatische Updates" in der Systemsteuerung (Vista: "Systemsteuerung, Windows Update"). Damit werden regelmäßig alle wichtigen neuen Updates heruntergeladen und installiert.

Update-Archiv: Im Fall einer Neu-Installation starten Sie aber wieder mit null Patches, da das automatische Update die Set-Up-Dateien nicht aufbewahrt. Die Folge: Ihr System ist beim ersten Besuch im Netz ungeschützt und fängt sich mit einiger Wahrscheinlichkeit eine Malware ein, auch wenn Sie nur das Windows-Update aufsuchen. Mit unserem pcwUltimateLoader legen Sie ganz leicht ein Update-Archiv an, das Sie bei einer Neu-Installation aufspielen können, bevor Sie das erste Mal ins Netz gehen. Wie Sie das Tool optimal nutzen, lesen Sie in unserer Anleitung.

2.: Aktualisieren Sie Ihre Software zuverlässig

Je mehr Software Sie auf Ihrem Windows-Rechner installiert haben, desto größer ist das Risiko einer Sicherheitslücke. Jedes Tool kann selbst fehlerhaft sein oder Bugs im System verursachen. Deshalb sollten Sie nur Programme einrichten, die Sie wirklich brauchen, und den Rest radikal ausmisten. Weiterhin sollten Sie darauf achten, dass die installierte Software auf dem neuesten Stand ist.

Einige Anwendungen – etwa Firefox oder Thunderbird – besitzen eine eigene automatische Update-Funktion. Bei vielen anderen müssen Sie in regelmäßigen Abständen auf der jeweiligen Website nach Aktualisierungen Ausschau halten.

Alternative: Erleichtern Sie sich das Leben, indem Sie eine Software wie Update Star einsetzen. Nachdem Sie das Tool aufgespielt haben, macht es eine Inventur aller installierten Anwendungen. Nach einem Klick auf "Updates suchen" gleicht Update Star Ihre Software-Liste mit einer eigenen Datenbank im Internet ab und liefert eine Aufstellung derjenigen Tools, für die ein Update verfügbar ist. Anschließend klicken Sie auf "Programmliste", laden sich die neueren Versionen über die jeweiligen "Download"-Schaltflächen herunter und installieren sie.

3.: Setzen Sie eine Router-Firewall ein

Eine Desktop-Firewall ist nichts anderes als eine Anwendung, die den Netzwerkverkehr überwacht und Datenpakete aussortiert, die nicht den definierten Regeln genügen. Das Problem dabei: Die Firewall-Anwendung läuft auf demselben System, das sie schützen soll. Weist das System oder die Schutz-Software eine Sicherheitslücke auf, kann der Schutz nicht gewährleistet werden. Es ist so, als würde eine Stadt auf eine Feuerwehr verzichten und stattdessen in jedem Wohnblock einen vorlauten Mini-Jobber mit einem Eimer Wasser abstellen.

Hardware-Firewall: Viel sicherer ist es, wenn Sie eine Firewall nutzen, die auf einem anderen System läuft, etwa auf Ihrem DSL-Router. Angreifende Malware kommt so mit Ihrem System überhaupt nicht in Berührung. Wenn Sie über eine solche Firewall surfen, schicken Sie Datenpakete über den Router an die gewünschte Website. Der Router speichert für jedes Paket eine gewisse Zeit die Quell- und Ziel-IP, das verwendete Protokoll und ob eine Antwort erwartet wird. Nur wenn die Website in dieser Zeit ein Paket zurückschickt, das den Kriterien entspricht, wird es durchgelassen. Aus diesem Grund können bei der Firewall meist auch alle Ports geschlossen bleiben. Viele DSL-Router verfügen über eine Firewall, die in der Regel standardmäßig aktiv ist.

4.: Arbeiten und surfen Sie als eingeschränkter Benutzer

Windows 2000, XP und Vista verfügen über konfigurierbare NTFS-Rechte. Indem Sie diese richtig einsetzen, halten Sie schon die meiste Malware ab. Der Trick dabei: Zusätzlich zu Ihrem normalen Admin-Konto legen Sie ein eingeschränktes Konto an, über das Sie im Idealfall arbeiten und surfen. Das bietet den Vorteil, dass keine Malware, die in diesem Kontext ausgeführt wird, in das System eingreifen darf. Nur wenigen Schädlingen gelang bisher eine "Privilegien Eskalation" – also, sich trotz eingeschränkter Rechte per Sicherheitslücke den Admin-Zugriff zu ergaunern. Dagegen hilft es aber, System und Software regelmäßig zu patchen.

Für ein Plus an Komfort: Wenn Ihnen das Arbeiten als eingeschränkter Benutzer zu unbequem ist, können Sie ein Tool wie Sudown nutzen. Damit weisen Sie gewünschten Benutzern die Gruppe "Sudoers" zu. Sobald Sie oder eine Software eine Aktion ausführen, die nach Admin-Rechten verlangt, werden Sie aufgefordert, Ihr Kennwort einzugeben. Erscheint der Kennwort-Dialog, ohne dass Sie irgend etwas getan haben, deutet das möglicherweise darauf hin, dass sich eine Malware auf Ihrem System einschleichen will. Sie wird aber nicht ausgeführt, wenn Sie es nicht explizit erlauben.

5.: Öffnen Sie keine Mailanhänge von unbekannten Absendern

Das schwächste Glied in der Sicherheitskette und daher das beliebteste Angriffsziel von Malware ist der Benutzer des Rechners. Eine alte, aber immer noch wirkungsvolle Methode ist das Versenden von Mails mit manipulierten Anhängen. Wenn Sie den Anhang öffnen, starten Sie die Malware. Deshalb lautet die eiserne Regel: Öffnen Sie keine unbekannten Mailanhänge, und sorgen Sie dafür, dass Ihr Mail-Client es auch nicht automatisch tut. Kommt unerwartete Post mit Anhang von einem Bekannten, einer Bank oder der Telefongesellschaft, nutzen Sie einen zweiten Kanal (zum Beispiel ICQ oder Telefon), um sich zu vergewissern, dass alles seine Ordnung hat. Mails von Fremden, auch wenn sie vorgeben, von einem bekannten Unternehmen zu stammen, sollten Sie immer löschen.

Achtung, Risiko: Auch wenn der Anhang einer Mail harmlos erscheint, kann sich dahinter durchaus etwas Bösartiges verbergen. So erscheint beispielsweise eine Datei mit einem Namen wie Rechnung.PDF<Zeilenumbruch>.PIF in Ihrem Mail-Client etwa nur als "Rechnung.PDF", weil der Zeilenumbruch und die Endung PIF nicht angezeigt werden. Wenn sie dann auch noch aus einer scheinbar sicheren Quelle stammt, ist die Neigung zum Klicken schon recht groß. Trotzdem dürfen Sie die Datei keinesfalls öffnen, denn durch die Endung PIF ist sie ausführbar und enthält wahrscheinlich Malware.

6.: Lassen Sie sich beim Surfen nicht täuschen

Eine neue Masche, Malware auf Privat-PCs zu platzieren oder persönliche Daten zu ergaunern, ist das Typosquatting. Wenn Sie sich bei der Eingabe einer URL vertippen oder eine falsche Top-Level-Domain eingeben, landen Sie möglicherweise auf einer speziell präparierten Seite. Diese sieht zwar auf den ersten Blick aus wie die gewünschte, fordert Sie jedoch auf, etwas herunterzuladen oder persönliche Daten einzugeben.

Ähnliches kann passieren, wenn Kriminelle populäre Web-2.0-Seiten hacken. Unlängst wurde zum Beispiel das Hintergrundbild des Myspace-Profils von Alicia Keys so manipuliert, dass ein versehentlicher Klick darauf Sie auf einen Malware-Server umgelenkt hätte. Der Fehler wurde beseitigt, jedoch wird das Prinzip weiterhin genutzt.

SSL & Zertifikate: Wer mit eingeschränkten Benutzerrechten unterwegs ist muss in der Regel zumindest nicht den Befall durch Malware befürchten. Allerdings schützt Sie das nicht davor, vertrauliche Informationen preiszugeben. Grundsätzlich gilt: Geben Sie vertrauliche Infos ausschließlich in Formulare mit verschlüsselter Verbindung ein (etwa SSL), und achten Sie davor akkurat auf Zertifikats-Fehler. Die verschlüsselte Verbindung erkennen Sie im Firefox oder IE daran, dass die Adresszeile sich gelb verfärbt und die URL mit "https://" beginnt.

Praktisch alle Banken und Online-Shops sind bei einer der vielen Stammzertifizierungsstellen (etwa Verisign) registriert, so dass Sie nicht explizit bestätigen müssen, dass Sie die Verbindung aufbauen wollen. Erscheint die Nachfrage dennoch, sollten Sie in jedem Fall den Text der Dialogbox sehr genau lesen. Ist das Zertifikat abgelaufen, können Sie davon ausgehen, dass Sie zumindest auf der korrekten Website sind. Allerdings arbeitet die IT-Abteilung dieser Firma hier nicht besonders sauber, und Sie sollten sparsam mit der Eingabe vertraulicher Daten umgehen, wenn Sie das Zertifikat akzeptieren sollten. Stimmt der Name der Site nicht mit dem des Zertifikats überein, sollten Sie genau schauen, worin der Unterschied besteht, und das Zertifikat gegebenenfalls ablehnen. Fehlt hingegen die Zertifizierungsstelle komplett, sollten Sie das Zertifikat auf jeden Fall ablehnen.

7.: Vergeben Sie stets verschiedene, sichere Kennwörter

Für die Sicherheit Ihres lokalen Rechners ist es zwingend erforderlich, dass Sie für jedes Benutzerkonto ein eigenes sicheres Kennwort vergeben. Am bequemsten geht das für den angemeldeten Benutzer über "Systemsteuerung, Benutzerkonten". Besonders wichtig ist jedoch das vordefinierte Administrator-Konto, das etwa bei XP Home standardmäßig kein Kennwort besitzt. Sie sollten diesen Mangel in jedem Fall beseitigen, indem Sie aus einem Konto mit Admin-Rechten in einem Kommandozeilen-Fenster (Cmd.exe) den Befehl

net user Administrator <KW>


eingeben. Statt "<KW>" wählen Sie als Kennwort eine möglichst komplexe Zeichenfolge, die mindestens aus Groß- und Kleinbuchstaben und Zahlen besteht.

Auch die Sicherheit Ihrer Daten im Web steht und fällt mit der Vielfalt und Qualität der Kennwörter, die Sie für die einzelnen Seiten vergeben haben. Verwenden Sie bei Amazon, Ebay & Co. keinesfalls dasselbe Kennwort wie fürs Online-Banking oder Ihr Aktiendepot und auch nicht dasjenige Ihres lokalen Benutzerkontos.

Allerdings kann sich kaum jemand so viele komplexe alphanumerische Passwörter merken, wie er eigentlich braucht. Viele Benutzer greifen deshalb häufig auf Muster zurück. Das Problem bei durchnummerierten Kennwörtern oder Kennwörtern, die aus dem Namen und Geburtstag der Katze bestehen, ist jedoch, dass sie per Wörterbuch-Attacke schnell geknackt werden.

Passwort-Generator: Für deutlich mehr Sicherheit ohne Gedächtnistraining können Sie zum Beispiel die Firefox-Eweiterung Password Hasher verwenden. Dieses englischsprachige Tool erzeugt aus einem Domänen-Namen und einem von Ihnen zuvor definierten Master-Kennwort ein sicheres Passwort für eine Website. So müssen Sie sich nur ein einziges Kennwort merken, profitieren aber dennoch von der Sicherheit vieler unterschiedlicher Kennwörter.

Passwort-Datenbank: Alternativ können Sie das englischsprachige Tool Keepass nutzen, um Ihre Kennwörter in einer verschlüsselten Datenbank abzuspeichern. Lassen Sie sie jedoch keinesfalls auf Ihrer Festplatte liegen, sondern nutzen Sie das Tool etwa von einem USB-Stick.

8.: Empfangen Sie Mails nur als Plain-Text

Nicht nur der Browser kann HTML-Seiten anzeigen, auch im Mail-Client werden HTML-Mails standardmäßig geparst, also interpretiert, und angezeigt. Falls Sie die Grundregeln 1 bis 4 befolgen, liegt das Risiko auch hier eher beim Datenklau als beim Einnisten einer Malware. Der "Header" und somit auch der Absender einer Mail kann leicht gefälscht werden, somit liefert das keinen gültigen Hinweis darauf, ob es sich etwa um eine Phishing-Nachricht handelt. HTML-Mails können so gestaltet werden, dass sie wie offizielle Schreiben anmuten, und zusätzlich können darin enthaltene Links maskiert werden.
Sicherer ist es, Sie lassen sich alle Mails immer nur als reinen Text anzeigen. So sehen Sie direkt, wo ein Link hinführt, und riskieren keinen versehentlichen Klick. Außerdem geraten Sie nicht in Versuchung, etwa ein HTML-Formular auszufüllen, denn das sollten Sie keinesfalls tun.

So geht’s: In Thunderbird finden Sie die entsprechende Option unter „Ansicht, Nachrichtentext, Reiner Text“. Bei Outlook Express aktivieren Sie unter "Extras, Optionen, Lesen" die Klickbox neben "Alle Nachrichten als Nur-Text lesen".

Bei Outlook ist es komplizierter. In der Version 2002 (XP) müssen Sie zunächst Regedit starten. Dann öffnen Sie den Schlüssel „Hkey_Current_User\ Software\ Microsoft\ Office\ 10.0\ Outlook\ Options\ Mail\“, legen einen neuen Dword-Eintrag "ReadAsPlain" an, und geben ihm den Wert "1". Unter Outlook 2003 gibt es eine Option auf der Oberfläche. Wählen Sie "Extras, Optionen, Einstellungen, Email-Optionen", und aktivieren Sie die Klickbox neben "Standardnachrichten im Nur-Text-Format lesen". Bei Outlook 2007 wählen Sie "Extras, Vertrauensstellungscenter, E-Mail-Sicherheit" und aktivieren die Klickbox neben "Standardnachrichten im Nur-Text-Format lesen".

9.: Installieren Sie keine Tools aus unbekannten Quellen

Die Regel "Arbeiten und surfen Sie als eingeschränkter Benutzer" wird außer Kraft gesetzt, sobald Sie eine Software installieren, die dafür Admin-Rechte verlangt. Achten Sie deshalb genau darauf, woher die Software stammt, bevor Sie sie einrichten. Bei populären Tools sollte die Herstellerseite grundsätzlich immer die erste Wahl sein (zum Beispiel Microsoft, Adobe …), da hier eine nachträgliche Manipulation der Pakete eher unwahrscheinlich ist. Alternativ können Sie natürlich auch jede Software aus den Download-Archiven von www.pcwelt.de und www.pcwelt-praxis.de installieren. Vermeiden sollten Sie allzu vielversprechende Freeware dubioser Herkunft, für deren Unbedenklichkeit Sie keine Bestätigung aus zuverlässiger Quelle finden können.

10.: Nutzen Sie immer NTFS-Rechte

Ein eingeschränktes Konto verfügt über keinerlei Schreibrechte im Windows-Ordner. Somit ist es auch nicht möglich, Systemdateien zu manipulieren. Sie können die NTFS-Rechte aber auch nutzen, um Ihre eigenen Dokumente zu schützen.

Pro-Funktionen für XP Home: Unter XP Home fehlt die Registerkarte, auf der Sie NTFS-Rechte über den Explorer vergeben können. Mit pcwXPProme können Sie sie nachrüsten. Rufen Sie unser Tool dazu einfach per Doppelklick auf. Im Ordner von pcwXPProme wird die Datei ProductOptions.org angelegt. Bewahren Sie diese Datei gut auf, da das Tool ohne sie den Urzustand nicht wiederherstellen kann. Nach einem Neustart können Sie wie unter XP Pro oder Vista mit der rechten Maustaste auf eine Datei oder einen Ordner klicken, "Eigenschaften" wählen und über die Registerkarte "Sicherheit" Zugriffsrechte für das Objekt vergeben. So verhindern Sie, dass bestimmte Benutzer Ihres Systems auf das Objekt zugreifen.

Vertrauliches verschlüsseln: Da NTFS-Rechte von anderen Administratoren Ihres Systems immer überschrieben werden können, sollten Sie besonders vertrauliche Dateien besser mit der EFS-Verschlüsselung schützen. Klicken Sie dazu mit der rechten Maustaste auf die Datei oder den Ordner, und wählen Sie "Eigenschaften".

Quelle: PC-Welt