|
Wie kann ich meinen Computer oder mein
privates Netzwerk ausreichend absichern?
Ein
System kann durch drei Punkte unsicher werden:
a) Durch
Softwarefehler.
Jedes Stück Software
enthält zwangsläufig Fehler, entweder im logischen Ablauf oder in der
Architektur. Diese Fehler können ausgenutzt werden, um entweder Code von
externen Quellen einzuschleusen und auszuführen oder aber um
Sicherheitssperren zu umgehen. Je mehr Software installiert ist
(das nennen wir die Codebasis), um so mehr solcher Fehler sind
zwangsläufig vorhanden.
Problemlösung:
·
Führen Sie regelmäßig
(d.h. einmal monatlich) Windows Updates durch, lassen Sie dabei
keine Updates aus, weil sie Ihnen besonders groß erscheinen, gerade die
großen kumulativen Updates enthalten viele kleine Fehlerbereinigungen.
Die Angst vor dem Ausspionieren von privaten Daten während des Updates
ist unbegründet.
·
Installieren Sie nur
die Software, die sie tatsächlich benötigen.
Installieren Sie
Software nicht, weil sie diese möglicherweise irgendwann ausprobieren
möchten, sondern recherchieren Sie vorab, ob die Software tatsächlich
benötigt wird.
·
Installieren Sie nur
Software aus vertrauenswürdigen Quellen. D.h. bei aus dem Internet
herunterladbarer Software sollten Sie diese nur von der
Hersteller-Website beziehen, nicht aus ominösen Foren oder anderen
Downloadsites.
b) Durch
Benutzerfehler:
Bösartige Software,
die z.B. durch Webseiten verbreitet wird, läuft auf dem eigenen Rechner
mit den Rechten, die der aktuell angemeldete Benutzer hat. Arbeitet man
als Benutzer mit Administratorrechten, dann hat die bösartige
Software ebenfalls Administratorrechte und kann sich ungehindert im
eigenen System ausbreiten.
Problemlösung:
·
Man legt das
Benutzerkonto von vornherein nur mit eingeschränkten Rechten an (bei
Windows XP Home muss das nachträglich umgestellt werden) und legt sich
für administrative Tätigkeiten ein weiteres Konto an. Letzteres wird
nur benutzt, um Updates durchzuführen oder unbedingt erforderliche
Software zu installieren. Der ganze Rest wird mit dem eingeschränkten
Konto erledigt.
Ein weiterer
Benutzerfehler:
Ein
Bekannter/Kollege/Mitschüler bringt auf einem USB-Stick eine Software
oder ein Spiel mit. Dies ist wieder keine vertrauenswürdige Quelle,
sondern ist als potentiell verseucht zu betrachten.
Problemlösung:
·
Wenn Sie unbedingt
Software aus nicht vertrauenswürdigen Quellen installieren, sollten Sie
einen aktuellen Virenscanner verwenden. Dieser muss nicht von
Symantec sein, es gibt durchaus kostenlose aber dennoch hervorragende
Lösungen. Aber Vorsicht: Ein Virenscanner ist kein Virenschutz,
er dient nur dazu Viren zu erkennen, eine verlässliche Entfernung von
einem bereits verseuchten System kann kein Virenscanner bieten (auch
wenn die Hersteller etwas anderes versprechen). Außerdem kann kein
Virenscanner wirklich jede bösartige Software erkennen, da zwischen dem
ersten Auftreten einer bösartigen Software und der Erkennbarkeit durch
Virenscanner immer etwas Zeit vergehen muss, damit die
Virenscannerentwickler ein Erkennungsmuster herausfinden können, und
diese neuen Erkennungsmuster müssen dem Virenscanner als Update bekannt
gemacht worden sein.
c) Durch soziale
Manipulation:
Man bekommt eine
E-Mail, die den Eindruck macht, fehladressiert worden zu
sein. Diese E-Mail enthält einen Anhang, der angeblich Strandsfotos oder
ähnliches z.B. einer weiblichen Person enthält.
Problemlösung:
·
Den Finger still halten,
den Anhang nicht anschauen - denn dabei würde man die bösartige
Software installieren - sondern die fehlgeleitete E-Mail in den Orkus
befördern.
Zusätzlich kann man beim
Internetzugang über einen Router die Firewall im Router
aktivieren, dabei sollte man jedoch auf sämtliche
Portweiterleitungen im Router verzichten, ebenso auf DMZ-/Exposed-Host-Einstellungen,
die eher als Unsicherheitsfunktion zu bezeichnen sind, sowie auch auf
UPNP (Universal Plug And Play). Damit können Programme von „innen“ (also
aus dem Heimnetzwerk) bestimmte Sicherheitsregeln auf dem Router
deaktivieren, ohne dass der Benutzer dies bemerkt. Angebliche
Sicherheitsfunktionen wie „ICMP-Filter“ oder „Ping-Filter“ hingegen
bringen keinen zusätzlichen Schutz sondern können sogar zur
Verschlechterung der Internetgeschwindigkeit zu manchen Zielen führen.
Wird kein Router
verwendet sondern Zugang über ein Analog-Modem, eine ISDN-Karte oder
ein DSL-Modem (das nicht nur als DSL-Modem benannt ist sondern auch
tatsächlich wie eines arbeitet) empfiehlt es sich die Windows
Firewall zu aktivieren. Von der Installation anderer
Firewallprodukte als der systemeigenen ist dringend abzuraten.
Diese vergrößert die Codebasis (siehe oben) und erhöht somit die
effektive Unsicherheit.
Kann
ich - bei einem bereits sicheren System - die Sicherheit noch mehr
erhöhen, indem ich zusätzliche Firewall- oder Virenscanner-Software
installiere?
Grundsätzlich
sollte jedes Sicherheitskonzept (ich spreche bewusst nicht von
Firewall, diese ist nur eine Komponente eines Sicherheitskonzepts) nach
dem Zwiebelprinzip aufgebaut sein.
·
Ganz innen muss der
Benutzer sich der Sicherheitsproblematik bewusst sein, darf sich
nicht auf Firewall, Virenscanner und Co. verlassen und muss sich an
die oben genannten Regeln halten.
·
Auf der nächsten Schicht
hält aktuell gehaltene Software die Anzahl der Programmfehler
gering bzw. stellt sicher dass Fehler kurz nach deren Bekanntwerden
behoben werden und somit Sicherheitslücken reduziert werden.
·
Die nächst äußere Schicht
ist der Virenscanner, der dennoch durchgekommene bösartige
Software erkennen (jedoch nicht verlässlich entfernen) kann.
·
Zuletzt der Schutz durch
eine Firewall, die sicherstellt, dass nur gewünschter
Netzwerkverkehr bis zum betroffenen System vordringen kann.
Der Erklärung
des Punktes „Firewall“ kann man bereits entnehmen, dass eine Firewall
am besten wirkt, wenn sie vor dem zu schützenden System
arbeitet, nicht auf, also ist eine Firewall auf dem Router
grundsätzlich besser geeignet als eine Firewall auf dem PC selbst.
Nun mag man
argumentieren, dass zusätzliche Schichten die SIcherheitszwiebel noch
besser machen könnten und man daher ruhig eine weitere Firewall und
noch einen Virenscanner installieren können. Dies ist jedoch
falsch.
Wie oben bereits
erläutert, erhöht jede installierte Software - auch ein Virenscanner und
auch eine Firewall - die Codebasis eines Systems und somit auch die
Anzahl der Softwarefehler, die ganz oben als einer der
Hauptunsicherheitsfaktoren genannt wurden.
Zusätzlich
bringen Doppelinstallationen ein weiteres Problem mit sich:
·
Ein Virenscanner muss
sich in die Dateizugriffsroutinen des Betriebssystems einklicken. Bei
zwei Virenscannern geschieht dies im Idealfall einfach doppelt, d.h. bei
jedem Dateizugriff werden nun beide Virenscanner und dann das
Betriebssystem benachrichtigt. Das reduziert die
Systemgeschwindigkeit. Läuft es aber schlecht, kann dies zu
ernsthaften Problemen führen, da beide Virenscanner nicht damit rechnen,
dass sie vor oder nach einen anderen Virenscanner laufen, sondern das
Betriebssystem als vorherige oder nachfolgende Komponente erwarten. Das
kann entweder dazu führen, dass sich die Virenscanner gegenseitig
aushebeln oder das System gänzlich unbenutzbar machen, weil
jeder Dateizugriff zwischen den Virenscannern steckenbleibt.
·
Eine Software-Firewall
(gemeint ist ein Firewallprogramm, keine Firewall auf einem Router) muss
sich in die Netzwerkzugriffsroutinen des Betriebssystems einklicken. Wer
obigen Abschnitt der Dateizugriffsroutinen bei zwei Virenscannern
durchgelesen hat, kann sich das Problem bei zwei konkurrierenden
Firewallprogrammen auf demselben System bereits lebhaft vorstellen.
Gerne wird
argumentiert, dass die Router- oder Windows-Firewall zwar vor
eingehenden Zugriffen schützt, dass man aber auch ausgehende
Verbindungen kontrollieren möchte und dafür andere Programme
benötigt. Das ist jedoch ein Trugschluß: Wenn eine bösartige
Software es schafft, sich auf dem lokalen Rechner zu installieren, dann
hat sie zwangsläufig auch ausreichende Rechte, in der Firewall des
Fremdherstellers heimlich still und leise eine Ausnahme für sich zu
konfigurieren oder die Firewall gleich gänzlich abzuschalten (ohne dass
es für den Anwender erkennbar ist).
Daniel Weber
Stand:
03.03.2022
|
