100% Sicherheit gegen Bedrohungen gibt es nicht, nicht mal wenn man den Netzwerkstecker zieht – daher stellt sich die Frage, wie kann ich meinen PC so absichern, dass ich 99% mit möglichst vielen 9ern nach dem Komma erreiche.

Hier die 4 wichtigsten grundlegenden Tipps:

1. Updates
   • Windows-Updates
   • Updates für Drittanbieter-Software
2. Firewall
   • Am Router
   • Am PC – Windows Firewall
3. Keine Administratorrechte
   • Nicht mit erhöhten Rechten (Als Administrator) arbeiten!
   • Benutzerkontensteuerung nutzen
4. Virenschutz
   • Malicious Code Removal Tool
   • Antiviren Software, die immer aktuell sein muss

Updates

Windows Update

Windows Update kümmert sich sehr gut um die dringendsten Sicherheitsaktualisierungen. Aktualisierungen werden automatisch einmal im Monat am “Patch Tuesday” installiert, das ist der zweite Dienstag im Monat. Dringende Aktualisierungen (“Critical Updates”) können aber gelegentlich auch sofort nach Veröffentlichung bereitgestellt werden und werden dann von Windows Update sofort heruntergeladen und installiert.
Dafür sollte man folgende Einstellungen in Windows Update vornehmen:

Updates für Drittanbieter-Software

Nicht zuletzt weil Windows Update recht gut und rasch funktioniert, kommen aber die gefährlichsten und häufigsten Bedrohungen längst nicht mehr über Windows-Sicherheitslücken, sondern schlüpfen über Lücken in den gängigsten Anwendungen und Plugins in den Rechner (siehe auch c’t 5/2011, S. 87)
Man sollte also auch sicherstellen, dass beliebte Angriffsziele wie Flash Player, Adobe Reader, Java, iTunes, Quicktime auch am neuesten Stand sind! Die c’t Redaktion empfiehlt dafür übrigens das kostenlose Tool Secunia PSI (Personal Software Inspector)- Firmenkunden mit größeren Umgebungen können dafür übrigens die Microsoft Softwarelösung “Microsoft System Center Configuration Manager” nutzen, und so von zentraler Stelle aus sicherstellen, dass Anwendungen auf allen PCs  immer am neuesten Stand sind.

Firewall

Router

Betreibt man ein Heimnetzwerk mit eigenem Router, ist es wichtig, dass dieser über eine Firewall verfügt und diese auch aktiviert ist um Schädlingen und Hackern den Zugang zum Heimnetzwerk zu verwehren oder zumindest massiv zu erschweren. Wichtig: Die Firewall am Router ist aber kein Ersatz für eine Windows Firewall!

Windows-Firewall

Die Windows Firewall blockiert ein- und ausgehenden Traffic, ist einfach und effektiv, unterschiedliche Regeln für öffentliche, private oder Firmen-Domänen-Netzwerke lassen sich festlegen, werden aber in der Regel automatisch vorgenommen, so dass man sich als normaler Privatanwender um nichts kümmern muss, außer sicherzustellen, dass dieser wichtige Windows Dienst tatsächlich aktiviert ist. Von Third-Party Firewall Lösungen und “Security Suiten” rate ich ab, da diese oft mehr Probleme verursachen, als sie lösen, und vor allem unnötig sind.
Auch hier gibt mir die aktuelle c’t 5/2011 auf Seite 93 recht: “Personal Firewalls wie ZoneAlarm sind ein Relikt längst vergangener Zeiten.”
Wichtig: Auch umgekehrt gilt: Die Windows Firewall ersetzt nicht die Firewall am Heimnetz-Router!

Administratorrechte

Nicht als Administrator arbeiten!

Aus Gründen der Bequemlichkeit arbeiten Privatanwender oft mit Administratorrechten – das ist aber absolut das Schlechteste was man tun kann, wenn man auf Sicherheit Wert legt. So können Schädlinge, meist sogar unbemerkt, den größten Schaden anrichten. Unter Windows XP (und älter) sollte man daher mit den Rechten eines Standard-Users arbeiten, und sich nur für Wartungsaufgaben wie die Installation von Softwareprogrammen, mit dem Administrator-Konto anmelden.

Benutzerkontensteuerung

Unter Windows Vista und Windows 7 ist die Trennung zwischen Standardkonto und Administratorkonto wesentlich eleganter gelöst: Die sogenannte “Benutzerkontensteuerung” (engl.: User Account Control oder UAC) stellt sicher, dass auch Benutzerkonten mit Administratorrechten standardmäßig nur im Kontext eines Standard-Users arbeiten, für Aufgaben, die erhöhte Rechte erfordern,  wird nach einer Zustimmung gefragt, diese wird dann nur dem einzelnen Programm erteilt, für das die Rechte erforderlich sind, etwa eine Installationsdatei. So können Schädlinge nicht so viel anrichten und vor allem nicht unbemerkt, wie unter einem echten Administratorkonto wie bei Windows XP.
Auch wenn manche Anwender die Rückfragen als nervend empfinden: Sicherheit geht vor Bequemlichkeit! – Bitte die Benutzerkontensteuerung keinesfalls deaktivieren!

Virenschutz

Malicious Code Removal Tool

Das “Malicious Code Removal Tool” oder auch “Tool zum entfernen bösartiger Software” bekommt man als Windows Anwender mit aktivierten Windows Updates automatisch. Es soll einen Basisschutz gegen die häufigsten und gefährlichsten Schadprogramme bieten und deren Verbreitung unterbinden. Die Notwendigkeit eines solchen Tools hat Microsoft vermutlich gesehen, da eine Vielzahl von Windows PCs mit nicht vorhandener, nicht ausreichender oder nicht aktueller Antivirensoftware im Internet unterwegs sind.
Es handelt sich dabei um eine erste Schutzschicht, aber nicht um einen vollwertigen Ersatz für ein Antivirenprogramm.

Aktuelle Antiviren Software

Das wichtigste Kriterium bei Antiviren Software, ist, dass sie vorhanden und aktuell ist, und sich laufend von selbst aktualisiert, nur so kann die Antivirus-Software gegen die neuesten Bedrohungen Schutz bieten.
Weitere Kriterien sind natürlich Preis, Performance-Impact (macht der Virenscanner meinen PC spürbar langsamer?), Erkennungsrate für Malware (Viren, Trojaner, Keylogger), Heuristik (Erkennung noch nicht bekannter Viren anhand von Mustern) und False Positives (falsche Erkennung von gutartigen Programmen als Virus) sowie Einfachheit/Benutzbarkeit und die Fähigkeit gefundene Schädlinge auch restlos zu entfernen.
Ich persönlich verwende das kostenlose Microsoft Security Essentials 2.0, da es bei den meisten dieser Kriterien im Spitzenfeld, wenn nicht sogar auf Platz 1 liegt, bei einigen im guten Mittelfeld, aber vor allem weil es beim Thema Performance Impact ungeschlagen ist, d.h. mein Computer wird kaum verlangsamt. Auch lästige Falschmeldungen (False Positives) leistet sich Security Essentials nicht, und die Erkennungsrate liegt mittlerweile im guten Mittelfeld und für häufige Bedrohungen natürlich ohnedies bei 100%.
Sollte jemand eine andere Antivirus-Software bevorzugen spricht nichts dagegen, einige Programme haben tatsächlich bessere Erkennungsraten, aber dafür machen viele den PC langsamer, sind unübersichtlich, erzeugen Falschmeldungen und kosten entweder Geld oder zeigen lästige Werbung.
Vom Kauf einer sogenannten “Security Suite” bestehend aus Antivirus-Software und Firewall rate ich jedenfalls ab, siehe dazu auch meine Anmerkungen unter “Firewall”.

Näheres zu Microsoft Security Essentials, darunter auch Meinungen und Testergebnisse, habe ich in einen eigenen Beitrag ausgelagert.

Fazit

So ist man sicher: Windows 7 mit Standardeinstellungen bzw. mit den empfohlenen Einstellungen betreiben, dazu noch eine Firewall am Router und das kostenlose Microsoft Security Essentials 2.0 oder ein anderes gutes Antiviren-Programm installieren. Und vor allem: Die Brain.exe nicht vergessen – Den gesunden Hausverstand im Umgang mit dem Internet.