16.11.2015

Windows: Mit Bordmitteln wirksam schützen?

Nicht nur seit Einführung des vor allem in der Business-Welt sehr populär gewordenen Windows 7, sondern auch mit dem brandneuen Windows 10 kann der gewiefte Administrator respektive IT-Entscheider auf eine Reihe von betriebssysteminternen Sicherheitsfeatures zurückgreifen. Diese versprechen zweierlei: Zum einen sollten Sie – da von Microsoft entwickelt und somit eng mit dem Betriebssystem verzahnt – eine reibungslose Funktionalität gewährleisten. Und zum anderen helfen Sie dabei, Kosten zu senken, da man sich gegebenenfalls die Anschaffung teurer Antiviren- und sonstiger Sicherheitslösungen externer Anbieter ersparen kann. Aber stimmt die erstere Behauptung? Und können die internen Tools mit denjenigen bewährter Anbieter von Sicherheitslösungen mithalten?

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Windows

Gefährdungen von Serversystemen

Betrachten wir die möglichen Gefährdungen von Windows-PC- und Serversystemen, stellen bekanntermassen diese drei die wichtigsten Einfallstore für Schadsoftware und Angriffe dar:

  • Netzverbindungen
  • Betriebssystem
  • Software (Applikationen)  

Daneben gibt es noch den allergrössten Unsicherheitsfaktor überhaupt – nämlich die Bediener der Systeme. Hier kann selbst die beste und sicherste Software natürlich nur so sicher sein wie der Umgang damit. Beispiel: Wer tatsächlich auf den Duktus einer Email hereinfällt, der dem Empfänger persönliche Anrede, Glück, Liebe und andere Fortune suggeriert und bedenkenlos den mitgeschleppten (als harmlosen Link oder Anhang getarnten) Trojaner öffnet, darf sich nicht beschweren, dass sein PC urplötzlich merkwürdige Phänomene aufzeigt – oder schlimmstenfalls unentdeckt zum Zombie-Mitglied eines Botnetzes oder zur nervigen Spam-Mailschleuder mutiert. Hier helfen dann leider auch nicht immer Antiviren-Programme. An diesem Teil der IT-Sicherheit muss ein internes Datenschutzkonzept ansetzen, Technik kann eben nicht alles richten.

Firewall, Defender, Bitlocker: Sinnvolle Bordmittel?

Aber bei den übrigen Punkten kann im ersten Schritt durchaus erst einmal auf die Bordmittel eines Windows 7, Windows 8 oder Windows 10 zurückgegriffen werden. Fangen wir mit dem Schutz der Netzwerkverbindungen an.  

Die interne Firewall aller drei Windows-Varianten ist nach einer Neuinstallation standardmässig aktiviert. Ob Sie diesen Zustand so belassen oder nicht, ist ein wenig auch Ihrem persönlichen Dafürhalten überlassen – denn schon lange gilt es unter IT-Sicherheitsexperten als Binsenweisheit, dass eine solche Desktop- oder Personal Firewall nur sehr begrenzt bis gar nicht schützt. Dass das so ist, liegt in diversen Umständen begründet. Erstens sind heutzutage praktisch alle Personal-Computer-Systeme (um den Jüngeren unter uns noch einmal in Erinnerung zu bringen, wofür «PC» eigentlich steht) hinter Routern und Netzwerkfirewalls ans Internet angebunden. Direkte Verbindungen der grossen weiten Welt zu unserem PC oder Laptop sind deshalb kaum noch möglich. Zweitens könnten diese ohnehin nur dann aufgebaut werden, wenn unser Betriebssystem überhaupt irgendetwas an Verbindungsmöglichkeiten anbieten würde – und das ist heutzutage auf PC-Systemen kaum noch der Fall. Was sollte unser Windows 7, 8 oder 10 denn auch schon anbieten? Es agiert in der Regel weder als Web- noch Mailserver, sollte keine Filesharings per FTP anbieten, und eine möglicherweise lokal installierte SQL-Datenbank hat ebenfalls nach aussen hin die (Netzwerk-)Klappe zu halten – bildlich gesprochen. Die Zeiten, in denen ein frisch installiertes Windows unzählige sogenannte Ports nach aussen offen hielt, sind Gott sei Dank schon längere Zeit vorbei. Und drittens: wenn unser System tatsächlich mit der Aussenwelt kommuniziert – was selbstverständlich über solche offenen Ports geschieht –, hat das entweder durchaus Sinn und Berechtigung, und dann würde eine Desktop Firewall den Datenverkehr auch passieren lassen müssen. Oder es handelt sich um einen ungewollten und unerwünschten Datenaustausch, weil nämlich beispielsweise eine Schadsoftware sich gerade daran macht, sämtliche auf dem PC gespeicherten PINs, Bankdaten und Adressen dem Big Brother-Hacker zu übermitteln – dann wird der Programmierer einer solchen Schadsoftware nach Kräften bemüht gewesen sein, den geheimen Datenaustausch auch wirklich geheim zu halten, indem er ihn über zugelassene Transferwege wie etwa Port 80 oder 443 für HTTP oder Port 25 für Emails schickt und somit vor der Firewall versteckt hält. Firewalls, die in die Datenpakete hineinsehen und deren Charakter beurteilen können, sind eher die Ausnahme und teuren Routern (Application Level Gateway, Next Generation Firewalls) vorbehalten.  

Sogar Steve Riley, ein Microsoft-Sicherheitsexperte, musste bereits vor Jahren konstatieren:  

«Gestern konnte eine Firewall am Netzwerkrand die Bedrohungen noch wirksam abwehren. Heute sind die Bedrohungen anders; sie sind höher entwickelt, und sie sind weiter verbreitet.»  

(Quelle: www.technet.microsoft.com)  

Eine gewisse Schutzfunktion mag eine Desktop Firewall vielleicht dadurch erlangen, dass sie den Anwender um Zustimmung fragt, bevor Datenpakete das System passieren können – vielleicht kann dadurch ja tatsächlich eine Schadsoftware am Datenaustausch gehindert werden. Nur sollte man sich davon keine Wunder hinsichtlich der Sicherheit versprechen – und vor allem muss man das Ganze unbedingt noch durch weitere Schutzmechanismen flankieren. Hier wären zum Beispiel die Benutzerkontensteuerung von Windows zu nennen, das grundsätzliche Arbeiten am PC mit einem eingeschränkten Benutzeraccount sowie das Aktivieren einer Antivirenlösung – oder auch des integrierten Defenders.

Defender – mehr Schein als Sein?

Der Windows Defender begleitet die Systeme aus dem Hause Microsoft schon einige Generationen lang. Ebenso lange gilt allerdings auch die Schutzfunktion dieses Tools als recht begrenzt. So heisst es in einem Bericht zu einer aktuellen Untersuchung verschiedener AV-(Anti-Virus-)Lösungen:  

«Anlässlich der allgemeinen Verfügbarkeit von Windows 10 haben Tester ihre Einschätzungen zu geeigneten Antivirenlösungen für Microsoft-Betriebssysteme vorgelegt. AV-Test aus Magdeburg setzt dabei Microsofts eigenes Windows Defender auf den letzten von 22 Plätzen. Das Innsbrucker Sicherheitstestlabor AV-Comparatives bescheinigte parallel 16 Sicherheitsprodukten von Fremdherstellern, dass sie einwandfrei mit Windows-Bordmitteln wie Defender und Firewall zusammenarbeiten.»  

(Quelle: www.zdnet.de)  

Sollten Sie also eine weitgehende Sicherheit erlangen wollen – und wer will das nicht? Könnten Sie Ihr System weitgehend «härten» und aktuell halten (fortlaufende Updates, eingeschränkte Software, eingeschränkte Benutzerrechte) und zusätzlich den Defender einsetzen – oder den Defender eher durch eine bewährte AV-Lösung ersetzen. Dass aber auch keine noch so teure und edel verpackte AV-Lösung Ihren PC-Systemen 100prozentige Sicherheit geben kann, sollte sich inzwischen herumgesprochen haben. Vielleicht zwingt Ihre unternehmensinterne Finanzlage Sie aber dazu, auf solche zugekauften Lösungen zu verzichten – dann ist der Defender besser als gar keine Schutzsoftware, und vor allem gibt es ihn umsonst.

Browser härten – oder wechseln

Ein weiteres wichtiges Mittel im Kampf gegen Schadsoftware, Phishing und Co. stellt die Absicherung des Browsers dar. Mozillas Firefox und Googles Chrome mögen dem einen oder der anderen aus verschiedensten Gründen nicht «schmecken» – aber aufgrund ihrer Schnelligkeit, Stabilität und vor allem der verhältnismässig geringen Anfälligkeit gegen Schadsoftware sind diese beiden inzwischen die weitaus beliebtesten Browser unter Windows-Systemen. Vor allem lassen sich beide Kandidaten recht gut durch Anti-Scripting- und ähnliche Erweiterungen «härten». Der Internet Explorer hingegen ist zu recht ins Hintertreffen geraten – aber mit Edge, dem neuen Browser unter Windows 10, hat Microsoft einen vielversprechenden Mitbewerber ins Rennen geschickt. Microsoft Edge – ursprünglicher Codename «Spartan» soll nicht nur schnell sein, sondern laut Microsofts Edge Dev Blog die Sicherheit fundamental verbessern. Es bleibt zwar vorerst abzuwarten, ob Microsoft dieses Versprechen wird einlösen können, aber im Zweifelsfall sollten Sie auf das «Bordmittel» Edge vertrauen, bevor Sie sich mit Gebastele an den bewährten Browsern Mozilla, Chrome oder Opera deren Sicherheitsfeatures zerschiessen.

«Geheimtip»: Microsoft BitLocker

Wenn etwas an exponierter Stelle wie dieser WEKA-Webseite WEKA als «Geheimtipp» gehandelt wird, ist es natürlich schon keiner mehr. Dennoch – gerne übersehen wird ein Windowsinternes Sicherheitsfeature, welches nicht unbedingt vor Hackern und zumindest  Die Microsoft BitLocker-Administration und -Überwachung (MBAM) bietet eine vereinfachte Verwaltungsschnittstelle zur BitLocker-Laufwerkverschlüsselung. Mit MBAM können Sie die passenden Optionen der BitLocker-Verschlüsselungsrichtlinien für Ihre Umgebung auswählen, um die Einhaltung dieser Richtlinien durch Ihre Clients zu überwachen und Berichte zum Verschlüsselungsstatus der gesamten Umgebung sowie zum Status einzelner Computer erstellen zu können.  

Um Bitlocker nutzen zu können, müssen Sie über eine Ultimate- oder Enterprise-Version von Windows 7 oder eine Pro- bzw. Enterprise-Version von Windows 8, Windows 8.1 oder Windows 10 verfügen.

Fazit

Beenden wir unsere kleine Betrachtung – die Sie in weitaus ausführlicherer und vertiefter Form auf dem Portal InformatikPraxis Online weiter vertiefen können – mit der Aufzählung der gängigsten Regeln zur Absicherung Ihres PC-Systems: 

  • Installieren Sie Updates zeitnah
  • Benutzen Sie einen Virenschutz
  • Härten oder wechseln Sie Ihren Browser
  • Wählen Sie möglichst komplexe Passwörter, und ändern Sie diese regelmässig
  • Öffnen Sie niemals Dateien oder Links aus unsicherer Quelle

MaLiWi IT

Produkt-Empfehlungen

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    ab CHF 168.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 16. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten rund um das Personaldossier und die Nutzung von Social Media

    Nächster Termin: 05. Juni 2018

    mehr Infos