Den Computer halbwegs sicher betreiben

Update 2014-04-06: Link zu heise-Artikel wegen Router-Sicherheit hinzugefügt.

Das Thema Sicherheit und Computer ist immer wieder gefragt. Gerade unbedarfte Anwender sind hier verunsichert und wissen nicht, welche Maßnahmen sinnvoll oder übertrieben sind. Noch dazu ist Windows als Betriebssystem ein weit verbreitetes und leider oft auch notwendiges Übel. Es ist nicht das technisch beste Betriebssystem am Markt. Es ist sicher nicht das benutzerfreundlichste Betriebssystem. Und es ist auch nicht das sicherste Betriebssystem.

Wenn man einen Computer einsetzt, ist es notwendig, gewisse Mindestanforderungen zu erfüllen, um eine grundlegende Sicherheit gegenüber Malware zu haben: Firewall, Virenscanner, Softwareauswahl, Hausverstand.

Ich erwähne auch kurz die Alternativen zu Windows und deren Sicherheitseinschätzungen aus meiner Sicht. Generelle Tipps sorgen für ein grundlegendes Verständnis über die eigene IT-Sicherheit.

Vor einigen Jahren hatte Windows noch keine eigene Firewall eingebaut, die mit ruhigem Gewissen als solches tituliert werden konnte. Mittlerweile hat sich das aber gottseidank geändert.

Die eingebaute und aktivierte Windows-Firewall reicht für den normalen Alltag aus.

Gut zu wissen ist hier allerdings, dass die Firewall nur gegen unerwünschte Angriffe von aussen nach innen hilft. Sie nützt nichts gegen unerwünschte Datenverbindungen vom eigenen Computer in das Internet. Und sie nützt auch nichts dagegen, wenn der Anwender sich per Browser oder Emailprogramm oder durch unachtsames Installieren von Malware sich Probleme einhandelt.

Modernen Virenscanner kämpfen an vielen Fronten gleichzeitig. Vor einigen Jahren beschränkten sich Virenscanner auf das Erkennen von Zeichenketten (sogenannte Signaturen), die in bekannter Malware vorkommt. Mit der Verbreitung von polymorphen Viren und anderer Gemeinheiten mussten Virenscanner auch "böses Verhalten" erkennen.

Mit der Explosion der Anzahl von Malware änderte sich der Stellenwert der verhaltensbasierten Scanner (im Gegensatz zu den Signaturscannern) noch mehr. Weiters wurden schnelle Updates der Malware-Informationen notwendig.

Ernstzunehmender Malwareschutz bedingt daher eine Kombination aus Signaturenscanner und verhaltensbasierten (heuristischen) Scannern. Etliche Produkte am Markt verwenden sogar jeweils mehrere Scanner parallel. Um diese Aufgabe in einen vernünftigen Ausmaß betreiben zu können, bedarf es einen nicht unbeträchtlichen Teil der Prozessorleistung. Daumen mal Pi werden dabei dreißig bis fünfzig Prozent eines Prozessors (oder eines Kernes) notwendig. Aus diesem Gesichtspunkt sind alternative Betriebssysteme mangels Notwendigkeit von Virenscannern von Haus aus schneller.

Nur aktuelle Vergleichstests von unabhängigen Institutionen lassen Rückschlüsse auf die Brauchbarkeit von Virenscannern zu. Gerade die hauseigenen Microsoft-Produkte versagten hier grandios, sodass sie nicht zu empfehlen sind. Auch weitere große Sicherheitsfirmen wie Norton oder McAfee haben sich leider große Schnitzer erlaubt. Mit der Dynamik im Bereich der Malware ergibt sich dadurch auch eine Dynamik bei der Brauchbarkeit von Virenscannern. Ich empfehle das Studium der mehr oder weniger jährlich stattfindenden Tests vom heise-Verlag, die im Newsticker oder in Zeitschriften wie der c't darüber berichten.

Sofern man die Freiheit hat, die eingesetzten Softwareprodukte sich selbst aussuchen zu können, sollte man dies auch hinsichtlich der Sicherheit nutzen.

Als Daumenregel gilt: je weniger Microsoft und Adobe, desto besser. Angreifer konzentrieren sich nicht nur auf unsichere Software, sondern auch auf Software, die weit verbreitet ist. Microsoft und Adobe haben sich nicht den Ruf erarbeitet, besonders sichere Software zu produzieren (im Gegenteil) und sind zudem extrem weit verbreitet.

Die Sicherheitsprobleme durch Internet Explorer, Outlook und leider nach wie vor auch MS Office sind enorm. Mit der Wahl eines ernstzunehmenden alternativen Browsers (Firefox, Chrome oder Chromium) ist man im Internet wesentlich sicherer unterwegs. Statt Outlook empfiehlt sich als Emailprogramm Thunderbird, das zudem auch sichere Kommunikation möglich macht. Statt Microsoft Office kann man auch mal getrost LibreOffice ausprobieren. Da auch Adobe ein Hersteller mit unrühmlicher Sicherheitsthematik ist, empfiehlt sich auch hier zum Beispiel Sumatra PDF als eine sichere Alternative zum Adobe Reader. Und auch das Flash-Plugin im Browser ist nach Möglichkeit zu deaktivieren. Flash ermöglicht besonders vielen Malware-Programmen den Eintritt.

Alle hier vorgestellten Alternativprogramme sind kostenlos und bis auf Chrome auch freie Software.

Wichtig ist ebenso, dass sowohl die Betriebssystem-Updates als auch die Updates von Anwendungssoftware zeitnah eingespielt werden. Es werden gerade beim Herauskommen von neuen Updates immer wieder schlimme Schwachstellen publik. Aus diesem Grunde ist das System bis zum Einspielen des Updates besonders ungeschützt, da die bösen Jungs bereits mit dieser Information massenweise automatisch Systeme übernehmen, die entsprechende Korrekturen noch nicht eingespielt haben.

Die beste Softwareausstattung nützt nichts, wenn der Anwender unachtsam ist und beispielsweise auf Phishing-Emails reinfällt. Weitere potentielle Probleme kann man sich durch Browsen auf schwindeligen Porno-Anbietern, Installieren von allerlei dubiosen Software-Produkten und so weiter einhandeln. Gegen diese Dinger kann auch ein sehr guter Virenscanner nicht immer etwas ausrichten.

Eine gute Portion Skepsis ist angesagt, wenn man zum Beispiel Emails erhält, die nach Zugangsdaten fragen (Bank, Email, Firma, ...). Keine IT-Abteilung sollte jemals die Notwendigkeit haben, per Email oder Web-Formularen nach Passwörtern zu fragen.

Das Arbeiten in einem Administrator-Account, wie es früher bei Windows aus der Notwendigkeit, dass Dinge funktionieren, notwendig war, sollte tunlichst vermieden werden.

Im Falle des Falles lieber einen Kollegen fragen, ob man da nun draufklicken soll oder ob dieses Email gefälscht sein könnte, als hinterher bereuen.

Die meisten Benutzer merken vermutlich gar nicht oder viel zu spät, dass ihr Computer mit Malware befallen ist. Millionen von Windows-Maschinen sind im Internet zu finden, die sich in sogenannten Botnetzen befinden. Diese dienen dann den bösen Buben dazu, um Profit zu schlagen oder um Angriffe auf weitere Ziele zu verschleiern.

Man stelle sich nur vor, dass auch der eigene (befallene) Rechner zum Austausch von Kinderpornographie verwendet werden kann. Ich wünsche dem Besitzer dann viel Spaß, wenn die Polizei mit einem Einsatzkommando vorbeikommt und nach einer Erklärung fragt. Keine Erfahrung, die man manchen möchte. Schon alleine deswegen sollte einem jeden Computerbesitzer die Sicherheit seiner Maschine wichtig sein.

Wenn der eigene Rechner mit Malware befallen ist, gibt es mehrere Möglichkeiten. Virenschutzprogramme bieten oft die Möglichkeit an, den Rechner zu säubern. Das funktioniert allerdings leider nur in einer kleinen Zahl von Fällen nachhaltig und sauber. Die beste Methode ist, wenn man den Rechner komplett neu aufsetzt oder aufsetzen lässt. Klarerweise verliert man dadurch alle Daten und Konfigurationen. Aus diesem Grunde ist ein gutes und verlässliches Backup-System eine weiterer wesentlicher Baustein. Mit Vorhandensein eines Backups verliert das Neuaufsetzen des Systems seinen Schrecken. Man spielt einfach eine Sicherung ein, die vor dem Befall durch Malware gezogen wurde.

Nebenbei bemerkt: wenn das Windows sich über die Jahre immer langsamer anfühlt, so liegt das nicht daran, dass der Rechner unbedingt ersetzt werden muss. Windows zerkonfiguriert sich im normalen Betrieb von selbst. Wenn nun das Windows und alle Programme komplett neu installiert und konfiguriert werden, wird auch plötzlich die alte Maschine wieder spürbar schneller!

Wie sieht es mit den alternativen Betriebssystemen aus? Die einzigen Alternativen, die einen Durchschnittsanwender interessieren sind Apples OS X (man spricht es bitte "oh es zehn" oder "oh es ten" aus und nicht "oh es ix") und GNU/Linux.

Apple-Rechner kommen mit OS X daher. Man kann daher nicht OS X auf einem beliebigen Rechner installieren - er muss von Apple kommen.

Das Thema Sicherheit ist bei Apple derzeit ein zwiespältiges. Einerseits stimmt es, dass es keine nennenswerte Verbreitung von Malware unter OS X gibt. Aus diesem Grunde kann auf einen Virenscanner getrost verzichtet werden.

Andererseits hat Apple auch nicht gelernt, einen ernstzunehmenden Prozess bei Sicherheitsproblemem einzuführen. Das wirkt sich dann so aus, dass bei einem OS X Sicherheitsproblem dieses oftmals ignoriert oder kleingeredet wird. Im besten Fall gibt es ein leider auch verspätetes Update von Apple, das das Sicherheitsproblem löst (oder auch nicht). Hier muss Apple deutlich besser werden.

Vom Prinzip her ist bei Apple das User-Experience das höchste Gut. Wenn das mit dem Thema Sicherheit in Konflikt steht, wird bei Apple gerne auf Sicherheit verzichtet oder grundlegende technische Maxime verletzt. Bislang sind sie damit recht gut gefahren. Ich prognostiziere Apple allerdings mittel- und langfristig ein Sicherheits-Debakel, das sich in schneller Verbreitung von Malware auf OS X Systemen (OS X-spezifisch oder gar Plattform-unabhängig) auswirken wird. Wenn es soweit kommt, hat Apple ein mittelschweres Problem, da sie ihre grundlegende Systemsicherheit nach und nach durchlöchert haben. Noch ist es nicht soweit aber irgendwann werden die Produzenten von Malware die homogene OS X Systemlandschaft ebenfalls mit Malware versorgen.

Bis dahin kann man als Durchschnittsanwender aus meiner Sicht aber noch getrost zu Apple greifen.

Die GNU/Linux-Plattform (Debian, Ubuntu, SuSE, Red Hat, und so weiter) hat historisch gesehen einen sehr guten Ruf was Sicherheit betrifft. Es existiert noch weniger bis keine verbreitete Malware.

Es bleibt daher der Punkt Hausverstand, wie bei jedem Betriebssystem.

Auf unbedarfte Endanwender abzielende Distributionen wie Ubuntu vereinen daher gute Benutzerfreundlichkeit mit Sicherheit. Bei Veranstaltungen wie den Grazer Linuxtagen kann sich ein jeder darüber informieren, wie man den Umstieg von Windows perfekt meistern kann. Es lohnt sich meiner Meinung nach in jedem Fall!

Das Thema Sicherheit ist ein endloses.

Grundsätzlich ist Sicherheit kein Zustand, den man erreichen kann, sondern ein Prozess, den man ständig verbessern muss. Wenn jemand absolute Sicherheit verspricht, lügt er oder sie oder er oder sie kennt sich noch nicht wirklich aus. Das passiert öfters als man glaubt. In so einem Fall sollten alle inneren Alarmsignale sofort anfangen, verrückt zu spielen!

Die IT-Sicherheit wird nicht nur durch den Computer vor der Nase bestimmt. Sicherheitsprobleme bekommt man auch durch sehr viele andere Dinge. Fernseher und Internet-Router (WLAN-Router) haben in den letzten Jahren ein unrühmliches Sammelsurium an Sicherheitsproblemen bekommen. Inzwischen verliert man leider den Überblick, welche Routermodelle noch keine gravierenden Sicherheitsprobleme haben. Bekannt gewordene Standardpasswörter sind hier nur ein Problem von vielen. Ich empfehle technisch versierten Benutzern von WLAN-Routern dringend, auf alternative Firmware wie OpenWrt oder DD-WRT zu setzen! Dem Router, den man vom Internet-Provider bekommt, würde ich ebenso nicht trauen. Ich setze zwischen dem und meinem Netz immer meinen eigenen OpenWrt-Router mit aktivierter Firewall.

Von den Routern, die das Internet steuern, gibt es auch vermutlich keine mehr ohne Backdoor. Und gefundene Backdoors werden nur an eine andere Stelle verschoben statt geschlossen oder entfernt.

Des weiteren haben nun auch Drucker, Kopierer und Telefonen schlecht gesicherte Schnittstellen zum Internet, die sehr bedenkliche Angriffszenarien möglich machen.

Ähnliche Probleme können moderne Smartphones und prinzipiell alle mit dem Internet verbundenen Geräte verursachen. Auch die Smart-TVs haben hier ein unrühmliches Beispiel gegeben.

Es existieren zudem auch schon komplexe Angriffe, die das vollautomatische Übernehmen von mehreren Geräten eines Benutzers kombinieren, um beispielsweise am Handy die mTANs abgreifen um sie im Browser fürs Abbuchen vom Konto zu missbrauchen.

Eine Kette ist nur so stark, wie das schwächste Glied.

Im Internet gibt es viele Quellen, sie man Rechner sicherer macht. Für technisch versierte Paranoide gibt beispielsweise der Chaos Computer Club Überlebensratschläge aus. Im Zuge der horrenden Erkenntnisse aus den Snowden-Leaks kommen sehr viele neue Bedrohungszenarien zum Vorschein. Organisationen wie die Freedom of the Press Foundation geben Richtinien heraus, wie man seine Privatspähre und Sicherheit halbwegs bewahren kann. Sicherheitsexperten wie Bruce Schneier erklären ebenfalls, wie man sich vor diesem Horror schützen kann. Das deutsche BSI gibt auch regelmäßig sehr gute Richtlinien heraus.

Oftmals reicht es auch, wenn man auf bequeme aber als sehr unsicher bekannte Dienste wie Facebook oder WhatsApp verzichtet und dezentrale Dienste und sichere Alternativen wie TextSecure verwendet. Eine interessante Alternative zu Email ist Bitmessage.

Meine Tags security, surveillance, privacy, decentralization, windows, osx, linux markieren Informationen zu diesem Thema auf meinem Blog, delicious und Twitter.