Casperworld Forum

..oder gaaanz einfach aufs InterNetz verzichten und sich die Rente gönnen...

(Handy habe ich längst im Gulli geworfen...)

Oh wow !!! Vielen herzlichen Dank für die ganzen Infos, Gordo und die ganze Mühe alles zu sammeln und aufzuschreiben. Das ist ziemlich nützlich für alle. (obwohl ich ja schon fast alle progs aufm PC drauf hab, die du erwähnt hast und sie auch öfters mal durchlaufen lasse.)

also ich kann alle Programme, die Gordo empfohlen hat auch nur weiterempfehlen. installiert und benutzt sie, dann seit ihr auf der sicheren seite

super sache, danke Gordo.

hab zwar nicht alles verstanden, hab aber verstanden, dass alles sinnvoll und wichtig ist.

fLo

Ich müsste auch mal wieder alles durchscannen,bin aber wie gesagt so demotiviert

Aber du hast recht Gordo Wat mut dat mut!

Finde ich super, deine Tipps, Gordo! Lass mich dazu noch ein paar Ergänzungen machen:

2 + 3) Vor Eingriffen in die Registry rate ich ab. Wenn man es nicht lassen kann, muss man vorher unbedingt ein Backup der Betriebssystempartition erstellen. Windows und alle Programme neu zu installieren dauert Stunden, ein Image ziehen und zurückspielen nur Minuten.

4) Virenprogramme sind sehr wichtig. Der beste Virenschutz ist aber immer noch die Vorsicht, kombiniert mit einer Firewall. Und ein Virenprogramm, welches nicht ständig mit den neusten Signaturen gefüttert wird ist wertlos und kann eben so gut wieder deinstalliert werden.

Zur Vorsicht: niemals ausführbare Dateien öffnen, die per Mail zugeschickt oder von zwielichtigen Seiten angeboten werden!

5) Wie oben erwähnt, ist eine Firewall ein sehr wichtiger Virenschutz. Sie hält Viren ab, welche sich unbermerkt über Netzwerke verbreiten. Wichtig: wer einen Flatrate-Anschluss besitzt kommt um eine Hardware-Firewall nicht herum! Eine Desktop-Firewall kann durch eine Sicherheitslücke von einem Hacker übernommen werden, eine Hardware-FW aber auf keinen Fall.

Tut euch die Installation von ZoneAlarm oder einer ähnlichen Desktop-Firewall lieber nicht an. Wer von den ständigen Warnungen und Abfragen nicht durchdreht, wird früher oder später paranoid... Die beste Kombination ist eine Hardware-Firewall mit SPI und XP Service Pack 2. Windows 2000 (und vorherige Versionen) benötigt jedoch leider eine Desktop-Firewall.

6) Spuren vernichten? Das müsst ihr nur, wenn jemand anderer vollen Zugriff auf euren PC hat oder die Gefahr besteht, dass ein Hacker die Festplatte einsehen kann. Die einzigen Spuren, die aus dem Internet gelesen werden können sind die Cookies. Diese kann aber immer nur der Server lesen, der sie auch geschrieben hat, also keine Panik.

Gute Arbeit, @Gordo, ein paar Bemerkungen zusätzlich:

Der gesunde Menschenverstand und Angriffsmethoden

Irgendjemand hat mal gesagt, der beste Schutz ist der gesunde Menschenverstand - ich glaube das war @Einstein.
Ist im Prinzip richtig, nur muss dieser gepaart sein mit dem Wissen, wo mögliche Angriffsziele stecken können. Ich fasse die wichtigsten Angriffsmethoden deshalb nochmal kurz zusammen:

- Viren (im klassischen Sinne) haben zwar an Bedeutung verloren, es gibt sie aber immer noch. Viren verbreiten sich passiv, erst durch die Ausführung von Dateien.

Wesentliche Quellen: Ausführbare Dateien, Makros, Bootmedien (Bootsektoren insbesondere von Disketten, in den MBR eingeschleuster Code)

Schutz: aktueller Virenscanner

- Dialer: Tools, die im Hintergrund eine kostenpflichtige Verbindung über das DFÜ-Netzwerk herstellen (bisher keine für DSL bekannt);

Quelle: ActixeX-Controls auf WEB-Seiten, Trojaner

Schutz: Anti-Dialer-Software, Sperren von Nummernkreisen

- Würmer, Trojaner etc. Würmer verbreiten sich aktiv selbst, Trojaner sind meist Wirt für andere Schädlinge.

Wesentliche Quellen: Dateianhänge von E-Mails, versteckter Code auf WEB-Seiten (ActiveX, WSH-Sripte, Javascripte), offene Netzwerk-Ports, Sicherheitslücken

Schutz: Hardware-Firewall, Software-Firewall mit Content-Filtern (!eine Hardware-Firewall schützt hier nicht vollständig, weil diese nicht auf dem PC ausgeführten Code überwacht), Konfiguration der Sicherheitseinstellungen im WEB-Browser, Antivirenprogramme

- Spyware (Adware): versteckte Tools, die z.B. Daten ausspähen, Werbezwecke erfüllen sollen etc. Meist haben diese keine beabsichtigte Schadfunktion, bremsen aber das System und schaden oft durch Bugs

Quellen: Freeware-Programme, versteckter Code auf WEB-Seiten

Schutz: Öfters den Rechner scannen mit den erwähnten Tools wie Spybot, Ad-aware. Wer sich ein kommerzielles Tool leisten will, dem sei Pestpatrol empfohlen, wohl eines der besten Tools auf diesem Gebiet, gute Antivirenprogramme bieten einen gewissen aber keinen vollständigen Schutz

- Browser-Hijacker (betrifft nur MS Internet-Explorer): kleine Tools, die Funktionen des IE missbrauchen, um z.B. auf bestimmte WEB-Seiten umzuleiten

Quelle: Sicherheitslücken im IE, ActivX-Controls auf WEB-Seiten

Schutz: Spybot-Immunisierung des IE, Tools wie HijackThis

- Backdoors: meist über Trojaner und Würmer installierte Programme, die unbefugten Zugriff von außen bis hin zur völligen Kontrolle des Computers ermöglichen; Backdoors werden oft für die gefüchteteten DOS-Attacken benutzt (DOS: Denial-of-Service, Server werden durch massenhafte Anfragen überlastet und so lahmgelegt)

Quellen: Verbreitung über Trojaner, Würmer, offene Netzwerkports

Schutz: Antivirenprogramm, Firewall


Welche Firewall?

Firewalls sind ein sehr wirksamer Schutz gegen alle möglichen Angriffe und Schädlinge. Wichtig ist aber: Nur eine gut konfigurierte Firewall macht Sinn.
Kann man mit den ständigen aufpoppenden Meldungen der Firewall-Software nur bedingt etwas anfangen, dann bringt sie nicht viel und stört eher als dass sie Nutzen bringt.

Eine Hardwarefirewall per DSL-Router ist auf jeden Fall eine gute Wahl wie @Heinz bereits bemerkte. Aber auch diese muss konfiguriert werden und sie bietet keinen Schutz z.B. gegen Eindringliche, die über die WEB-Browser-Ports (die ja offen sein müssen) hereinkommen können. Auch die Windows-XP-Firewall schützt kaum dagegen, da diese hauptsächlich gegen Angriffe von außen und bei Serververbindungen von Programmen wirksam wird. Den sichersten Schutz bietet eine Kombination aus Hardware- und Software-Firewall.

Freeware-Empfehlungen: ZoneAlarm, Outpost (wobei ich der letzteren den Vorzug geben würde)

Kommerzielle Firewalls: GData; Norton ist in der Funktionalität zwar sehr gut, aber sehr ressourcenfessend.

Wer auf eine zusätzliche Firewall verzichten möchte, dem sei dringend empfohlen, die Sicherheitseinstellungen des WEB-Browser nicht zu niedrig einzustellen. Beim Serven auf unbekannten WEB-Seiten (z.B. nach Google-Suchen) ist dringend zu empfehlen, ActiveX bzw. Javascript wenigstens temporär zu deaktivieren.


Tools und Antivirenprogramme

Avira Antivir (www.avira.com) ist zwar kostenlos und recht gut, hat aber ein entscheidendes Manko: der E-Mail-Client wird nicht überwacht.
Das machen meines Wissens nur kommerzielle Tools.

Meine Empfehlungen:

Kasperski AntiVirus
GData Antivir

HijackThis ist zwar ein mächtiges Tool, allerdings für Einsteiger weniger geeignet.

Ein sehr gutes Allround-Tool zur Aufspürung von Spyware / Hijackern ist a-squared Free. Gegenüber der kommerziellen Version fehlt nur der residente Wächter. Ein Tool analog HijackThis ist ebenfalls enthalten, das aber einfacher zu benutzen ist.

Software-Updates

Wie @Gordo schon erwähnte, sind Updates des BS dringend zu empfehlen.
Experten schätzen, dass, wenn ein System einige Monate nicht auf dem neusten Stand gehalten wird, eine 50%ige Wahrscheinlichkeit besteht, sich etwas einzufangen.
Ergänzung: Nicht nur das BS sollte aktualisiert werden, sondern auch Software, wie Office - auch da gibt es immer wieder massig Sicherheitslücken.

Ganz wichtig (bei Windows XP): Die Systemwiederherstellung sollte aktiviert sein, damit nach einem Update, welches das System lahmgelegt hat (das soll es geben *g*), wieder auf das funktionierende System "gedowngradet" werden kann.

Zitat

IE: Internetoptionen: "Temporäre Internetdateien löschen" (löscht auch Cookies)

Cookies werden hierbei im IE nicht gelöscht. Selbst die explizite Funktion "Cookies löschen" löscht nicht alles.

Alles sehr interessant hier!

Nachtrag: Etwas sehr wichtiges hatte ich noch vergessen zu erwähnen. Auch wenn es auf den ersten Blick lästig erscheinen mag: ständig mit Adminrechten auf einem System zu arbeiten, erhöht Risiken erheblich. Eindringliche. welcher Art auch immer, haben dann Vollzugriff auf alles, auf die Registry, auf Systemdateien etc. Meine Empfehlung: Für das normale Arbeiten einen Benutzer mit Hauptbenutzerrechten einrichten, das reicht völlig und sperrt viele evtl. Schädlinge schon mal vor wesentlichen Systemkomponenten aus.

Und noch zu dem Hinweis von @Heinz: Ich kann auch nur zur größten Vorsicht bei der Anwendung von Tuning- und Bereinigungs-Utilities raten.
Auf jeden Fall sollte man immer wissen, was man tut und vor allem in der Lage sein - z.B. durch die XP-Systemwiederherstellung - Änderungen rückgangig zu machen. Man muss sich vor Augen halten, dass insbesondere Freeware- und Shareware-Tools meist nur auf wenigen Systemen getestet sind und durchaus fehlerhaft sein können.
Auch professionelle Tools können u.U. erhebliche Schäden anrichten.
Selbst die Windows-XP-eigene Datenträgerbereinigung ist davon nicht verschont - mir sind mindestens drei Fälle bekannt, in denen dieses Tool das NTFS-Dateisystem irreparabel zerschossen hat.
Signifikante Performance-Gewinne sind ohnehin mit Tuning-Tools selten zu erreichen.

Naja @Huck, wer benutzt schon Server-Software auf privaten Rechnern (ist ja vor allem auch eine Kostenfrage *g*).
Und für Desktop-PCs sind SW-Firewalls mit "stateful inspection" noch kaum vorhanden.

Zur Erklärung: Desktop-Firewalls benutzen i.A. Paketfilter während die genannte Methode den Datenstrom in Echtzeit zusätzlich inhaltlich analysiert

Habe noch einen Tip, wenn's für Vorsicht einmal zu spät sein sollte und man den Verdacht hat sich was "eingefangen" zu haben: Es gibt ein schönes kleines Programm namens Security Task Manager . Dieses Programm zeigt einem sämtliche im System laufenden Prozesse, auch die, die einem der Windows Task Manager vorenthält. Gleichzeitig zeigt das Programm Infos zu den Dateien, die die Prozesse starten, bewertet die Prozesse nach möglicher Gefährlichkeit uvm. Gerade wenn man lieber manuell Adware, Trojaner u.ä. beseitigt statt dieses Programmen zu überlassen, ist dieses Tool der ideale Helfer.

Das Programm ist echt praktisch, besonders die Quarantäne Funktion. Danke Brian!

Zitat

Original von Huckleberry
Das ist ein immer noch weitverbreiteter Irrglaube. Das Gegenteil ist eher der Fall. Eine HW-FW kann z.B. keine "stateful inspection" (naja, eine "Desktop"-FW wie ZoneAlarm natürlich auch nicht)

Dem kann ich nicht folgen. Selbst günstigere Hardware-Firewalls bieten SPI. Das Gegenteil ist bestimmt nicht der Fall, da ein Hacker in eine HW-Firewall keine Backdoors einschleusen kann.

Zitat

und das Aktualisieren ist wesentlich aufwendiger als sich einen SW-Patch zu installieren.

Ein Firmware-Upgrade ist bestimmt nicht viel aufwändiger zu installieren als ein SW-Patch. Klar geht das nicht mit Auto-Update, aber so kompliziert ist das echt nicht.

Ich fürchte, hier haben sich einige Missverständnisse und falsche Begriffsdefinitionen im Bezug auf das Thema Firewall eingeschlichen. Auch wenn ich selbst weit davon entfernt bin um in diesem Bereich als Experte oder Fachmann gelten zu können versuche ich einmal, ein paar dieser Missverständnisse auflösen, sofern mein Laienwissen dafür ausreicht (soll heißen, ich gebe hier auch keine Garantien ab). Ansonsten kann ich vielleicht auch einfach noch auf die entsprechenden Wikipedia-Artikel (sowohl dt. wie auch engl. Version) zum Stichwort Firewall verweisen, die das ganze wahrscheinlich viel anschaulicher und besser erklären als ich.

Zu Beginnen sollte man vielleicht einmal erwähnen, dass unter Firewall auch nur ein Schutzkonzept (Abschirmen einen lokalen Rechner/Netzwerks von einem größeren Netzwerk/Netzwerkverbund) verstanden werden kann. Bisher wurde hier aber unter dem Begriff eher die hard- und softwaretechnische Umsetzung dieses Konzeptes verstanden, was ich im Folgenden auch beibehalten werde.


Das erste Missverständnis scheint dann bei der Verwendung der Begriffe Hardware-Firewall (HW-F) und Software-Firewall (SW-F) zu bestehen. Man sollte sich hierbei vor Augen halten, dass eigentlich JEDE Form vom Firewall aus Hard- und Software besteht. Auch eine Hardware-Firewall, so wie der Begriff hier verwendet wurde, besteht aus der Hardware im engeren Sinne, was z.B. ein Router aber auch ein ganzer Rechner sein kann, und der Software, welche einmal den Betrieb der Hardware regelt (Firmware, Betriebssystem) sowie der eigentlichen Software zur Leistung der Schutzmaßnahmen. Ggf. stellt sie auch noch eine Benutzungsoberfläche zur Interaktion mit dem Anwender bereit.

Die missverständliche Verwendung dieser Begriffe kam im Zuge der so genannten Personal Firewalls auf. Hierbei handelt es sich um Schutzsoftware, welche auf dem Rechner ausgeführt wird, den es eigentlich zu schützen gilt (das sind z.B. die hier genannten Programme ZoneAlarm, Outpost und Norton Firewall/Internet Security), was so ein wenig dem eigentlichen Konzept einer Firewall widerspricht. Denn problematisch hierbei sind weniger die Sicherheitslücken in der Schutzsoftware selbst, sondern das sie im Prinzip mit den gleichen Rechten betrieben wird und den gleichen Status innehat wie auch ein schädliches Programm, welches auf diesem Rechner ausgeführt werden könnte. Somit kann diese Art von Firewall durchaus schnell aushebelt werden. Diese Form von Firewall wurde in den Beiträgen vorher wohl als SW-F bezeichnet.

Demgegenüber ist dann eine HW-F, so wie der Begriff hier Verwendung gefunden hat, eben die Ausführung dieser Schutzsoftware auf einem Rechner oder noch unspezifischer auf einer Hardware, die nicht Teil der Rechner ist, die es zu schützen gilt. Vorteil ist hierbei dann eben genau, dass der Nachteil der Personal Firewalls nicht gegeben ist. Was die Sicherheitslücken angeht, kann natürlich auch eine HW-F/"richtige" Firewall bzw. deren Software genau so davon betroffen sein. Geht man aber davon aus, dass umso weniger Sicherheitslücken und somit umso weniger Angriffspunkte existieren, desto weniger Software im Ganzen auf einem System eingesetzt ist, so ist ein System, auf dem nur die jeweilige Schutzsoftware läuft wahrscheinlich weniger anfällig als ein System, auf dem die Schutzsoftware parallel zu weiteren Anwendungen betrieben wird.

Legt man nun diese Definitionen zu Grunde, so ist das von Huckleberry beschriebene und benutzte Konzept eines Win2000 mit MS ISA Server auch als HW-F zu sehen, solange dieser Rechner quasi neben seinem eigentlichen "Arbeitsrechner" betrieben wird und somit zwischen "Arbeitsrechner" und Provider geschaltet ist, wovon ich hier einmal ausgehe.

Was die Einfachheit bzw. Schwierigkeit beim Stopfen von Sicherheitslücken durch einen Patch angeht, so liegt es schon in dessen Natur, dass hier jeweils nur die Software-Komponente gleich welcher Art von Firewall ausgebessert wird, denn für eine Ausbesserung der Hardware im eigentlichen Sinne müsste diese ja dann ausgebaut und ersetzt werden. Wie schwer oder einfach nun das Einspielen eines Updates in eine separate Hardware-Komponente (z.B. einen Router mit Firewall) ist, hängt im wesentlichen von dessen Hersteller und dessen Ausgestaltung dieses Prozesses ab, muss aber nicht zwangsläufig schwieriger sein als das Installieren eines Patchs für eine auf einem "Anwendungsrechner" betriebene Software wie eben eine Personal Firewall.


Das zweite Missverständnis liegt bei der hier bisher angenommen Funktionsweise von Stateful Inspection bzw. SPI (Stateful Packet Inspection). Die Methode des Stateful Inspection bzw. des SPI ist heutzutage eigentlich Standard für jede Form von Firewall und findet sich somit in fast jeder "richtigen" Firewall wie auch in fast jeder "Personal Firewall".

Die Methode Stateful Inspection basiert vereinfacht ausgedrückt darauf, dass sich die Firewall darüber bewusst ist, welche Verbindungen gerade aktiv sind. Ich versuche, dies mal anhand der Arbeitsweise etwas zu verdeutlichen: Dazu sei gesagt, dass eine der Hauptkomponenten einer Firewall ein Paketfilter ist. Dieser macht nichts anderes, als die verschiedenen Datenpakete entweder passieren zu lassen oder sie (anhand von Regeln) zu blockieren. Die Kommunikation mit dem Internet erfolgt hierbei über so genannte Ports (man kann sie sich sehr vereinfacht und bildlich übertragen als verschiedene Fahrstreifen einer Straße vorstellen), auf denen die Datenpakete transportiert werden. Um zu verhindern, dass vom Internet aus eine Verbindung mit dem Rechner hinter der Firewall aufgenommen werden kann, werden hierzu nun alle Ports einfach geschlossen. Folglich kann aber auch keine Kommunikation mehr stattfinden. Bestimmte Dienste bzw. Protokolle, z.B. HTTP sind nun ganz bestimmten Ports zugeordnet, in dem Fall halt dem TCP-Port 80. Will man also das Anzeigen von Webseiten wieder ermöglichen, muss man hierzu Port 80 öffnen. Dieses hat aber zur Folge, dass auch vom Internet aus die Kommunikation über Port 80 mit dem Rechner hinter der Firewall aufgenommen werden könnte.

Hier greift nun die Methode des Stateful Inspection bzw. SPI. Sie lässt Kommunikationsversuche zunächst einmal nur in ausgehender Richtung, also vom Rechner hinter der Firewall ins Internet zu. Diesen Verbindungsversuch inkl. seines Ziels merkt sich jetzt die Firewall. Kommt nun die Antwort von diesem Ziel zur Firewall zurück, weiß die Firewall, dass dieser Verbindungsversuch gewünscht ist und lässt zugehörige Datenpakete passieren. Kommt dagegen ein Paket aus dem Internet an der Firewall an, von dem die Firewall nicht weiß, dass auf dieses Paket aufgrund einer vom Rechner hinter der Firewall gestarteten Verbindung gewartet wird, lässt sie dieses Paket nicht passieren.

Folglich handelt es sich bei Stateful Inspection bzw. SPI nicht um eine statische Öffnung eines Ports sondern eben um eine dynamische. Die Firewall bzw. SPI bestimmt also, ob ein Port für ein bestimmtes Datenpaket geöffnet wird oder verschlossen bleibt, da sie sich darüber bewusst ist, ob dieses Datenpaket erwünscht ist oder eben nicht. Was dagegen Stateful Inspection bzw. SPI nicht leisten kann ist die Analyse des Inhaltes eines Datenpaketes. Wenn also dieses Datenpaket angefordert wurde, wird sie es passieren lassen, gleich was auch immer dieses Datenpaket beinhalten wird. Systeme, die die einzelnen Datenpakete dahingehend analysieren, ob sie protokollkonform aufgebaut sind und ob bestimmte Datenpakete bzw. eine Reihenfolge von Datenpaketen eine Bedrohung darstellen können sind eher so genannte IDS/IPS Systeme (Intrusion Detection System/Intrusion Prevention System).

Ich hoffe, ich konnte damit ein wenig weiterhelfen.

Danke für den ausfühlichen Beitrag, NoN. Das deckt sich mit meinen Kenntnissen.

Die günstigen HW-Firewalls (meist Router mit Firewall) sind meist Embedded-Linux-Systeme mit Firewall-Software. Diese kann selbstverständlich durch allenfalls vorhandene Sicherheitslücken umgangen werden, aber niemals "gekapert" wie eine Personal Firewall.

@Huck: Zu Hause einen ISA-Server aufzusetzen, ist meines Erachtens ein ziemlicher Overkill Eine DMZ hast du wohl auch eingerichtet? 8)

Ich versuche mich dann auch noch mal an einer kleinen Zusammenstellung von Tipps bezüglich der Sicherheit. Auch hier gilt natürlich wieder, dass das nicht der Weisheit letzter Schluss ist und ich keine Garantien übernehme. Auch wird es sich nicht vermeiden lassen, dass es zu gewissen Überschneidungen kommen wird. Ich hoffe, die Autoren der vorherigen Beiträge mögen mir das verzeihen, ich will sie damit mitnichten verbessern sondern mich lediglich ihren Aussagen anschließen. Habe versucht, soweit ich mich auf andere Beiträge beziehe, dies durch Verweise kenntlich zu machen, um die Leistung der Autoren dieser Beiträge entsprechend heraus zu stellen.

1. Möglichkeiten des vorhandenen Betriebssystems nutzen

a) Durch Updates vorhandene Sicherheitslücken im Betriebssystem sind unbedingt und zeitnah zu schließen (vgl. auch Beitrag von Gordo). Falls - wie dort angesprochen - den automatischen Update-Funktionen von Microsoft misstraut wird besteht auch die Möglichkeit, zumindest die sicherheitsrelevanten Updates manuell bei Microsoft herunterzuladen und dann zu installieren. Hierfür kann man sich die so genannten Security Bulletins (oder hier) von Microsoft zu nutze machen, die nicht nur die jeweiligen Sicherheitslücken beschreiben sondern auch sofern vorhanden einen Link zum jeweils passenden Update enthalten. Hersteller anderer Betriebssysteme bieten in der Regel einen ähnlichen Service an.

b) Vorhandenes Benutzerrechte-Management nutzen, d.h. unter einem eingeschränkten Benutzeraccount und nicht mit Administrator-Rechten arbeiten (es sei denn, Administratorenrechte werden ausdrücklich benötigt). Hintergrund hierfür ist, dass jegliche Software, die ein Benutzer ausführt (gewollt oder ungewollt) ohne weitere Zutun erst einmal die gleichen Rechte besitzt wie dieser Benutzer (vgl. auch Beitrag von Haley).

Da Microsoft selbst dieses Konzept jahrelang nur halbherzig verfolgt hat kann es immer wieder mal vorkommen, dass Hersteller ihre Software so (schlecht) programmieren, dass sie zunächst einmal nicht unter einem Account mit eingeschränkten Rechten funktioniert obwohl das vom technischen Gesichtspunkt her ohne Probleme möglich wäre, d.h. also Admin-Rechte nicht zwingend erforderlich wären. Oft reichen aber schon ein paar kleine Einstellungen / Änderungen und das Programm funktioniert auch mit eingeschränkten Benutzerrechten. Dieser Weg ist der Aufgabe des gesamten Konzepts auf jeden Fall vorzuziehen! Hilfe zu diesem Thema bzw. Erfahrungsberichte von Anwendern und die von ihnen gefundenen Einstellungen / Tipps findet man z.B. auf NoAdmin.de.

c) Nicht benötigte Dienste deaktivieren. Hintergrund hierzu ist, dass Dienste Ports geöffnet halten, auf die dann von außen zugegriffen werden kann. Deaktiviert man diese Dienste, schließt man entsprechende Ports. Windows zum Beispiel hat von Haus aus mehr Dienste aktiviert als ein normaler Benutzer benötigt, mithin sind auch viel zu viele Ports geöffnet. Über Systemsteuerung -> Verwaltung -> Dienste kann man die Dienste von Windows konfigurieren. Dies ist sicherlich nicht gerade trivial, daher empfehle ich mal einen Blick auf www.ntsvcfg.de.

d) Das Ausblenden bekannter Dateinamenerweiterungen sollte deaktiviert werden. Hintergrund ist hier, dass durch die Verwendung von doppelten Dateinamenerweiterungen (z.B. Dateiname.txt.exe, angezeigt als Dateiname.txt) eine trügerische Sicherheit suggeriert wird. Alle Dateien sollten angezeigt werden, d.h. kein ausblenden von verstecken und Systemdateien.


2. Internet-Software

a) Es sollte nach Möglichkeit nicht der Internet Explorer verwendet werden. Ich will hier auf keinen Fall einen "Browser-Krieg" hinauf beschwören noch behaupten, andere Browser hätten keine Sicherheitslücken (denn die haben sie). Hintergrund ist vielmehr, dass der IE bislang zumindest noch mit Abstand der am weitesten verbreitete Browser ist. Im allgemeinen wird natürlich versucht, durch das Ausnutzen einer Sicherheitslücke so viele Anwender wie möglich zu schädigen - also werden in der Regel die Sicherheitslücken der Software besonders häufig ausgenutzt, welche am weitesten Verbreitung findet. Solange dies der IE ist kann man nur zur Verwendung eines alternativen Browsers wie Firefox (oder andere auf der Gecko-Engine basierende Browser) oder Opera raten. Sollte irgendwann einer dieser Browser einen weltweiten Marktanteil von 90% haben, würde die Empfehlung wahrscheinlich nicht mehr an ihn gehen.

Hinweis: Auch wenn man einen alternativen Browser benutzt sollte man unbedingt alle verfügbaren Patches für den IE einspielen. Hintergrund ist, dass der IE so eng mit dem Betriebssystem verwoben ist, dass er ungepatcht immer noch eine Gefahrenquelle darstellen kann.

Wenn aus welchen Gründen auch immer kein anderer Browser als der IE benutzt werden kann, ist dieser entsprechend zu konfigurieren und nach Möglichkeit das Zonen-Modell zu nutzen. Dabei sollte dann nur bei vertrauenswürdigen Seiten ActiveScripting und ActiveX zugelassen werden.

Noch anzumerken ist, dass es eine Reihe von Browser-Aufsätzen gibt, die zwar die Benutzungsoberfläche des Browsers ändern, aber zur Darstellung der Webseiten auf die HTML-Engine des Internet Explorers zurückgreifen. Diese sind dann natürlich genau so von den Sicherheitslücken des IE betroffen!

b) Analog zum Browser gilt diese Aussage auch für das verwendete Mail-Programm. Auch hierbei ist wieder zu beachten, dass auch Mailprogramme von anderen Herstellern als Microsoft die HTML-Engine des IE zum Anzeigen von HTML-Mails nutzen könnten. Mithin werden auch die Sicherheitslücken des IE "mit benutzt". Vorsicht bei der Verwendung von Mail-Anlagen/Dateianhängen ist natürlich ein absolutes Muss (vgl. Beitrag von Haley). Auch sollte ein Mailprogramm entsprechend sicher konfiguriert sein. So ist sicherlich das Anzeigen von Mails als "Nur-Text" eine Maßnahme (Hintergrund ist hierbei, dass keine Scripts oder sonstiges aus dem HTML-Code bei Betrachtung der Mail ausgeführt werden können), genau so sollte z.B. nach Nachladen von Inhalten deaktiviert werden.

c) Auch hierbei gilt natürlich wieder, dass Browser und Mailprogramm immer auf dem neusten Stand gehalten werden sollen, um die Gefahr durch Sicherheitslücken so klein wie Möglich zu halten.


3. Schutzsoftware/-hardware

Einleitung: Hierzu wurde in den vorherigen Beiträgen sicherlich am meisten schon gesagt (ausgenommen des Punktes "g)" und in Teilen des Punktes "h)"), weswegen ich diesen Abschnitt entsprechend klein halten kann. Ob und welche Programme und Maßnahmen man hier einsetzt ist sicherlich zu einem nicht unerheblichen Teil auch persönliche Geschmacks- und Vertrauensfrage (vgl. Beitrag von Gordo, Beitrag von Haley, Beitrag von Heinz).

Nachträglich wurde als Ergänzung jeweils eine Link-Sammlung zu freier/kostenloser Anti-Virus und Anti-Spyware Software hinzugefügt. Zum Teil wurde auf die entsprechenden Programme in den vorherigen Beiträgen (vgl. insb. vorherige Verweise) schon eingegangen, daher soll dies lediglich der Übersichtlichkeit dienen. Zu beachten ist, dass es dafür jeweils auch kommerzielle Software gibt, die in ihrer Leistung und/oder ihrem Funktionsumfang über die genannten Programme hinaus gehen mag. Sie wurde nicht mit aufgenommen da das entscheidende Kriterium hier die freie bzw. kostenlose Verfügbarkeit (für Privatpersonen) war. Darüber hinaus wird kein Anspruch auf Vollständigkeit erhoben!

a) Anti-Viren Software: Es wird zwar durchaus die These vertreten, dass alleine das Einfangen eines Virus schon das System kompromittiert und es somit nicht mehr als vertrauenswürdig gelten kann, doch bin ich wenigstens der Meinung, es kann zumindest nicht schaden, dass man erst einmal mit bekommt, dass ein Virus aktiv wurde, und hierbei kann AV-Software durchaus behilflich sein. Dabei ist allerdings zu bedenken, dass Virenautoren der AV-Software immer einen Schritt voraus sind, denn die Haupterkennungsleistung von AV-Software geht auf so genannte Signaturen zurück, also der Abgleich von zu scannen Daten mit den "Fingerabdrücken" von bekannten Viren. Stichwort hierbei ist eben, dass diese Viren bekannt sein müssen. Sind sie das nicht, kann sie ein AV-Programm kaum entdecken (generische Signaturen und Heuristiken sind nicht wirklich besonders effektiv). Daher ist diese Lücke zumindest durch regelmäßige und häufige Updates dieser Signaturdatenbanken so klein wie Möglich zu halten. Aufgrund der aktuellen Entwicklung in diesem Bereich sollte hierzu ebenfalls Punkt 3 g) Rootkit-Scanner zu beachten!

Link-Sammlung (vgl. 2. Abs. der Einleitung zu Punkt 3):
a.1) Scanner inkl. Wächter (Real-Time Scanner): Avira AntiVir PersonalEdition Classic, Grisoft AVG Anti-Virus Free, Alwil avast! Home Edition
a.2) Scanner ohne Wächter (als Ergänzung und/oder für gezielte Prüfung): BitDefender Free Edition v8, F-Prot Antivirus for DOS
a.3) Heise online: Links zu Antiviren-Herstellern und Informationsseiten
a.4) "Notfall"-Scanner: Dr.Web CureIt!
a.5) Tools zur Suche und Entfernung von aktuell im Umlauf befindlichen Viren ("in the wild" / und nur diese!): McAfee AVERT Stinger, Trend Micro Sysclean Package, Avira AntiVir Removal Tool for Windows, Alwil avast! Virus Cleaner
a.6) Tools zur gezielten Suche und Entfernung eines bestimmten Virus: Kaspersky, BitDefender, Sophos, F-Secure, Symantec (Norton), Eset (NOD32), CA e-Trust

b) Anti-Spyware Software: Spezielle Anti-Spyware Software funktioniert im Prinzip wie AV-Software, legt ihren Fokus aber besonders auf Spy- und Adware. Mittlerweile ziehen aber die AV-Programme in der Erkennungsleistung von Spy- und Adware immer mehr gleich auf. Trotzdem kann sicherlich gerade der Einsatz von hier auch genannten Freeware-Programmen aus diesem Bereich nicht schaden.

Link-Sammlung (vgl. 2. Abs. der Einleitung zu Punkt 3): Lavasoft Ad-Aware SE Personal, Spybot Search & Destroy, Emisoft a-squared Free, Grisoft Anti-Spyware Free

c) Firewall/Personal Firewall: Mein vorheriger Beitrag geht hierauf besonders ein. Wenn man wie unter 1. c) beschrieben alle möglichen Ports schließt ist im Prinzip eine Firewall beschäftigungslos. Dieses gilt nicht, wenn man z.B. aufgrund eines Netzwerkes (hinter der Firewall) nicht alle Ports schließen kann, dann ist eine (Hardware-)Firewall sogar eigentlich unersetzlich. Meist findet sich auch schon entsprechendes in einem Router, daher spricht auch nichts dagegen, dieses zu Nutzen. Personal Firewalls sind ein zweischneidiges Schwert und standen eigentlich seit ihrer Erfindung im Fokus der Kritik, es gibt Argumente sowohl für als auch gegen ihren Einsatz (vgl. Beitrag von Heinz). Grundsätzlich gilt hier, dass man auch beim Einsatz einer Personal Firewall diese schon konfigurieren muss, soll sie wirklich etwas helfen. Was auch immer bemängelt wird ist ein Scheinschutz, siehe hierzu besonders Punkt 4.

d) Kommt ein WLAN zum Einsatz, so ist nicht nur die Firewall im WLAN-Router von Interesse, vor allem die Verschlüsselung der WLAN-Verbindung ist besonders wichtig. Hierbei sollte nicht mehr die veraltete und sekundenschnell überwindbare WEP-Methode Verwendung finden. Vielmehr ist die WPA-Methode vorzuziehen und dabei ein entsprechend starkes Passwort zu verwenden (vgl. auch Artikel von Golem.de). Eine Anleitung zum Thema findet sich z.B. hier http://www.dafu.de/rechts/wlan-security.html, aber auch an vielen anderen Stellen im Netz (einfach mal eine Suchmaschine benutzen).

e) Anti-Dialer Software: Hat im Zuge von DSL und anderen Hochgeschwindigkeitsanschlüssen an Brisanz verloren, da hierbei nicht mehr auf eine Telefonleitung aufgebaut wird (in dem Sinne, dass der gleiche Leitungsteil genutzt wird wie ihn ein analoges bzw. ISDN Telefon nutzt). Dies ist im Prinzip auch richtig, und wer per DSL oder Netzwerk ins Internet geht braucht Dialer an sich auch nicht zu fürchten, sie sind dann höchstens lästig. Vergessen wird manchmal aber, dass durchaus eine ISDN-Karte z.B. zur Nutzung von Fax sowohl im System eingebaut als auch mit der Telefonleitung verbunden sein kann. Diese Leitung kann dann von Dialern sehr wohl missbraucht werden.

f) Neben den Updates der Signatur-Datenbanken sollten natürlich auch vorhandene Sicherheitslücken in der Sicherheitssoftware sofort gestopft werden sobald ein Patch verfügbar ist.

g) Anti-Rootkit Software: Da Rootkits zunehmend Verbreitung finden kann vielleicht auch ab und zu ein Scan mit einem Rootkit-Scanner nicht schaden. Die hier verfügbaren Programme sind eigentlich alle Freeware oder voll nutzbare Testversionen. Ihre Ergebnisse sind allerdings jeweils zu interpretieren, da sie nur Programme melden, die Rootkit-Technologie nutzten - dies muss aber nicht zwangsläufig Schadsoftware sein. Daher ist zwar nicht unbedingt beim Einsatz der Software selbst, wohl aber ggf. beim ziehen von Konsequenzen Vorsicht geboten!

Auf den Seiten der Hersteller entsprechender Software wie z.B. RootkitRevealer von Sysinternals/Microsoft, Blacklight von F-Secure oder Sophos wird auch jeweils eine Einleitung in die Materie "Rootkits" gegeben. Auch der entsprechende Wikipedia-Artikel und ein dreiteiliger Artikel von Heise Online (Teil 1, Teil 2, Teil 3) gehen auf das Thema ein. Heise geht in einem weiteren Artikel auch noch einmal speziell auf die Software RootkitRevealer ein. Sehr lesenswert ist auch der Heise-Artikel Der Virendoktor, der nicht allein auf Rootkits eingeht, sondern generell die Möglichkeiten zur Spurensuche nach Schadsofteware vorstellt (vgl. dazu zum Teil die in Punkt 3 h) vorgestellte Software).

Auf jeden Fall wohl nur für erfahrende Benutzer geeignet (die wissen was sie damit tun und wie sie die Software einsetzen können) ist noch die Software RootKit Hook Analyzer, IceSword (Alternativ-Download über Chip.de) und System Virginity Verifier. Die angegebene Software bezieht sich ausschließlich auf den Einsatz unter Microsoft Windows. Einen sehr umfassenden Überblick über erhältliche Rootkit-Scanner oder entsprechende Hilfsprogramme sowie auch generell zum Thema bietet auch die englischsprachige Website www.antirootkit.com.

Alternativ kommt man durch Rootkit-Technik versteckter Schadsoftware auf die Schliche, indem man die Suche danach nicht unter dem potentiell befallenden System durchführt (was die oben angegebene Software tut) sondern einen Anti-Virus Scan von einem so genannten "sauberen System" aus auf dem potentiell befallendem System durchführt. Früher wurde hierfür immer von der guten alten DOS Startdiskette gebootet, doch diese Möglichkeit gelingt aufgrund des technischen Fortschritts heute nur noch sehr eingeschränkt. Alternativ kann man aber z.B. ein Linux-System von CD/DVD booten, es gibt sogar extra dafür gedachte und zusammengestellte Distributionen wie z.B. Knoppix. Allgemein spricht man hier von einem Live-System. Natürlich bedarf es hierfür eines AV-Scanners, der unter Linux läuft. Manche Distributionen bringen diesen auch schon mit. Einen ähnlichen Ansatz für ein Live Windows System verfolgt BartPE (dt. Seite, deutschsprachiges Forum), mit dessen Hilfe sich auch manche AV-Scanner für Windows dafür nutzen lassen.

h) Sonstiges / weitere Software: Neben der schon genannten Software gibt es noch einige empfehlenswerte Programme, die helfen können, vor allem manuell Schadsoftware auf dem System zu ermitteln. Entsprechend richtet sie sich auch eher an erfahrene Benutzer. Zum einen bietet Sysinternals/Microsoft gleich mehrere interessante Programme an, unter anderem den Process Explorer zur Analyse und Verwaltung von Prozessen und Tasks, TCP View zur Analyse der (offenen) TCP und UDP Ports, Autoruns zur Anzeige aller Autostart-Einträge sowie Regmon und Filemon bzw. dessen erweiterten Nachfolger Process Monitor zur Überwachung von Registry- und Dateisystemaktivitäten bzw. Prozess-, Registry- und Dateisystemaktivitäten.

Von merijn.org stammt "HijackThis" zum Aufspüren von "homepage hijackers" und weiteren "hijacker tricks". XP-Antispy ist zum Deaktivieren von "Phone-Home" Funktionen von Windows gedacht (vgl. auch Beitrag von Gordo). Auch wenn diese beiden Programme Arbeitsabläufe "automatisieren" bzw. Änderungen in der Registry für einen selbst übernehmen, sollte man auch (bzw. gerade) hier durchaus wissen, was man damit ggf. anrichtet. Also zumindest nichts für Anfänger und unerfahrene Benutzer.

Weniger in Bezug auf das Internet als vielmehr bei der Benutzung eines Computers durch mehrere Personen kann das Löschen von Gebrauchsspuren, Log-Dateien und ähnlichen Aufzeichnung als Sicherheitsaspekt betrachtet werden. Hier kann z.B. das Programm Clearprog weiterhelfen.


4. Der Anwender aka "Brain 1.0"

Von vielen Experten oder die, die sich dafür halten, wird der Anwender selbst als die größte Sicherheitslücke überhaupt verschrien. Ich denke, hier sollte man die Kirche durchaus mal im Dorf lassen, denn oft wird ein Anwender auch sehr leicht durch die Software geradezu verleitet, sich leichtsinnig zu Verhalten (vgl. z.B. das Ausblenden bekannter Dateinamenerweiterungen).

a) Wichtig ist vielmehr, mit einer gesunden Portion Misstrauen und nicht blindem Vertrauen an die Sache ran zu gehen. Denn richtig ist, dass es heute durchaus so einige Fallen im Internet gibt, die sogar schon die Massenmedien bewegen (ein Stichwort wie "Phishing" sein hier mal exemplarisch genannt, wobei dagegen auch gerade in den zuletzt erschienen Versionen von Firefox und Internet Explorer so genannte Phishing-Filter als ein Schutz-Versuch integriert wurden). Und da man z.B. sein Haus auch verschließt, wenn man es verlässt, sollte man mit dem gleichen Selbstverständnis auch ein gewisses Sicherheitsbedürfnis für das Surfen im Internet entwickeln. Hierunter fallen dann auch so Dinge wie das Verwenden nicht trivialer Passwörter, nicht seine PIN und TAN Nummer herauszugeben, nur weil man gerade eine E-Mail von der Bundeskanzlerin erhalten hat, die einen dazu auffordert und sonstige solcher "Späße".

Auch muss in diesem Zusammenhang auf so genannte Hoax, vermeintliche Warnungen über Viren und/oder Sicherheitsprobleme, die allerdings nichts als Falschmeldungen sind, hingewiesen werden. Ihre Relevanz hat gerade auch in der Zeit zugenommen, in der sich vermehrt Computer- bzw. Internetnutzer dem Thema Sicherheit zuwenden. Im "besten" Fall wird durch die Aufforderung bzw. dem Nachkommen der in der Hoax enthaltenen Aufforderung, diese Nachricht möglichst an alle die man kennt weiterzuleiten, "nur" eine Unmenge an Traffic erzeugt. Eine aktuelle Liste über im Umlauf befindlicher Hoax findet man z.B. bei der TU-Berlin.

Es gibt aber auch Fälle, in denen der Leser so einer Mail (wobei sich diese dann durchaus auch auf real existierende Sicherheitsprobleme beziehen kann) dazu verleitet werden soll, ein der Mail schon angehängtes Programm als Update für seine Software oder als Tool zum entdecken des besagten Virus auszuführen oder aber es vom einem in der Mail angegebenen Server zu laden (sprich den dort angegebenen Link anzuwählen), womit man sich dann aber erst die eigentliche Schadsoftware auf den Computer holt. Daher ist darauf hinzuweisen, dass seriöse Software-Unternehmen wie z.B. Microsoft nie Mails verschicken, in denen z.B. ein Update angehängt ist. Und auch wenn der Hersteller z.B. Newsletter anbietet, in denen die neusten Updates angekündigt werden, so erhält man diese doch nie unaufgefordert. Daher ist solchen Mails bzw. darin enthaltener Software sowieso aber auch darin enthaltenen Links grundsätzlich zu misstrauen und die gesuchte Website des Herstellers für Updates oder ähnliches manuell aufzusuchen, beim Umgang mit E-Mail Anhängen ist sowieso grundsätzlich Vorsicht geboten. Entsprechendes Verhalten gilt auch für Mails mit Links zu vermeintlichen E-Bay oder Homebanking Seiten, die wiederum oben schon angesprochene Versuche sind, Passwörter oder PIN und

b) Die Verwendung gerade von besonders viel Sicherheitssoftware verleitet auch dazu, entsprechend besonders sorglos an die Sache ran zu gehen, ganz nach dem Motto "mir kann ja nichts passieren". So ist es aber unwahrscheinlich, dass es jemand - nur weil er jetzt 6 Airbags im Auto hat - egal ist, ob er nun vor den nächsten Baum fährt oder nicht - er wird versuchen, dieses nach Möglichkeit zu verhindern! Genau so sollte man im Bezug auf Sicherheit am Computer und im Internet vorgehen. Sicherheitssoftware und vernünftige Konfigurationen sind immer nur ein weiteres Hilfsmittel, sie können aber auch nichts "mit 100%-iger Sicherheit" verhindern! Daher ist umsichtiges und überlegtes Handeln oberstes Gebot. Also nicht von einem angeblich vorhanden Rundum-Schutz des teuer erworbenen Alles-in-einem-Sicherheitspaket täuschen lassen, am sichersten ist man immer noch, wenn man versucht, die gröbsten Risiken zu umgehen und die schlimmsten Fehler erst gar nicht zu behenen (vgl. Beitrag von Haley und Beitrag von Heinz).


Dem allen zum Trotz sollte man sich natürlich nicht den Spaß am Internet verderben lassen! Aber ein wenig Vorsicht kann auch nie schaden!

Update 21.04.2006:
Habe meinen vorherigen Beitrag noch um den Punkt 3 g) bezüglich "Rootkits" und entsprechender "Anti-Rootkit Software" sowie den Punkt 3 h) "Sonstiges / weitere Software" erweitert.


Update 18.11.2006:
- Punkt 1 b) erweitert
- Punkt 1 d) ergänzt
- Bei Punkt 2 a) Firefox und Opera verlinkt
- Einleitung zu Punkt 3 ergänzt
- Link-Sammlungen für die Punkte 3 a) und 3 b) eingefügt
- Punkt 3 g) aktualisiert und erweitert
- Punkt 3 h) aktualisiert und ergänzt

Falls jemand noch ein empfehlenswertes Programm für die Link-Sammlung kennt aber es dort nicht wiederfindet - einfach bei mir melden, ich ergänze es dann.


Update 19.11.2006:
- Punkt 1 a) ergänzt
- Punkt 4 a) aktualisiert und erweitert


Update 20.11.2006:
- Hinweis auf Punkt 3 g) bei Punkt 3 a) eingefügt
- Punkt 3 g) ergänzt

Gerade wies mich eine freundliche Person darauf hin, dass von einem meiner E-Mailaccounts eine Handtaschenwerbung in englischer Sprache an alle Leute in meinem Adressbuch geschickt wurde.
Wenn also jemand von Euch, der mir schon einmal seine E-Mailadresse gegeben hat, diese seltsame Mail bekommen hat... ich war das nicht! Und es tut mir leid, wenn Ärger verursacht wurde. Ich muss jetzt mal Generalreinigung in meinem Computer veranstalten.
Handtaschenwerbung geht ja noch, was aber wenn Übleres verbreitet wird?
Ich bin echt am Grübeln, ob ein CW-Mitglied, das mir nicht mehr auf E-Mails antwortet, eventuell eine üble Mail von meinem Account bekommen hat....

Ender

Ich dachte mir schon so etwas als ich gestern diese Handtaschenmail in meinem Spamordner vorfand! Muß man sich jetzt Sorgen machen dass sämtliche E-Mail Adressen aus deinem Adressbuch ebenfals gestollen wurden und missbraucht werden könnten