Der einzig wirkungsvolle Schutz heißt Vorbeugung.
Es ist wenig sinnvoll, vereinzelt oder auch vermehrt auftretende Infektionen des Systems als gegeben hinzunehmen,
und den Schutz in der Entfernung gefundener Schädlinge durch Virenscanner oder Anti-Spyware-Programme zu sehen.
Denn jede Infektion, also jede Installation von Schädlingen auf Ihrem System bedeutet,
dass dieses in einen nicht mehr vertrauenswürdigen Zustand versetzt wurde.
Schließlich ist ein Schädling nichts anderes als ein Programm - nur eben mit unschönen Absichten
und für Sie ohne sichere Kontrollmöglichkeiten von unerwünschten Änderungen
(z.B. Ersetzen von Systemdateien durch Schädlinge).
Diese Vorbeugung gestalten Sie am besten wie folgt:
A.) Gehen Sie mit einem neuen oder gerade frisch aufgesetzten System nicht gleich ins Internet, um damit z.B. im Web zu surfen oder zu chatten.
Setzen Sie stattdessen
vor der ersten Internetverbindung die folgenden Maßnahmen um:
- Spielen Sie das aktuellste Service-Pack für Ihre Windows-Version offline ein.
-
Für Windows 7: Das Service-Pack 1 - entweder als 32 Bit (windows6.1-KB976932-X86.exe) oder 64 Bit (windows6.1-KB976932-X64.exe) - je nachdem, welches Betriebssystem Sie verwenden! Falls Sie sich nicht sicher sind, können Sie dies vor dem Download unter "Systemsteuerung", "System" ersehen. Auf einem Windows 7 sollte der Internet Explorer 9 installiert sein.
-
Für Windows Vista: Das Service-Pack 2 für 32Bit Systeme oder das Service-Pack 2 für 64Bit Systeme - je nachdem, welches Betriebssystem Sie verwenden! Auch wie unter Windows 7: Der Internet Explorer 9 ist Pflicht, bitte nicht mehr auf die alten Browser setzen - das hat nicht nur Sicherheitsgründe, auch Fragen der Webstandards werden hier berührt.
- Für Windows XP: Das Service-Pack 2 wird von Microsoft nicht mehr unterstützt (also mit weiteren Updates versorgt), daher sollten Sie das
Service-Pack 3 herunterladen und installieren. Zudem ist die Installation des Internet Explorer 8 anzuraten, auch dann, wenn Sie eigentlich einen anderen Browser verwenden.
Um eine Windows-Installation vorzubereiten, die es ermöglicht, auch aktuellste oder benutzerdefiniert erforderliche Patches von vornherein einzubinden, finden Sie z.B. für Neuinstallationen des Betriebssystems im WSUS Offline Update die Möglichkeit, alle zeitlich nach dem SP3 erschienenen wichtigen Aktualisierungen zu erfassen, um diese in einem Abwasch zu installieren.
-
Für Windows 2000 wurde der Support inzwischen eingestellt, setzen Sie dieses System bitte nicht mehr produktiv ein und steigen auf XP, Vista oder vorzugsweise Windows 7 um.
Tipp: Mit Hilfe einer Knoppix-CD können Sie diese Updates laden, ohne mit dem noch ungesicherten Windows ins Internet zu gehen.
-
Konfigurieren Sie das System so, dass nicht benötigte Dienste nicht nach außen hin angeboten werden (wichtig bei Windows XP); eine vergleichebare Information zu Windows 7 finden Sie in englischer Sprache auf dieser Unterseite.
-
Nutzen Sie ggf. einen Router (Vorteil: NAT).
Wenn Sie einen WLAN-Router verwenden, achten Sie unbedingt schon vor dem Kauf der Geräte (WLAN-Router bzw. Accesspoint und WLAN-Karte bzw USB-Stick) auf eine verfügbare WPA2-Verschlüsselung.
Verwenden Sie für die Verschlüsselung der WLAN-Verbindung letztlich nur WPA2 mit einer möglichst langen Passphrase, sehen Sie unbedingt von der Verwendung einer nur WEP- oder gar nicht verschlüsselten WLAN-Verbindung dringend ab: Der heutige Standard ist (übrigens bereits seit einigen Jahren!) WPA2 AES/CCMP. Sparen Sie hier an der passenden Hard- und Software, sparen Sie am falschen Ende - das WLAN müsste auch bei einer WEP-Verschlüsselung als für andere offenstehend betrachtet werden.
-
Richten Sie sich unter Windows XP, Vista oder 7 umgehend ein eingeschränktes Benutzerkonto ein und schützen dieses sowie Ihr Adminkonto ebenfalls mit einem sicheren Passwort. Unter Windows 7 müssen Sie zusätzlich in der Systemsteuerung in den Einstellungen unter "Benutzerkonten", "Einstellungen der Benutzerkontensteuerung ändern" den Schieberegler nach ganz oben auf "Immer benachrichtigen" setzen.
Arbeiten Sie danach fortan nur noch im eingeschränkten Konto und authentifizieren Sie sich nur dann mit Ihrem Administrator-Passwort, wenn Sie sich der Vertrauenswürdigkeit des zu installierenden Programms wirklich sicher sind. Bedenken Sie, dass Sie mit einer falschen Installation, also letztlich einem falschen Klick und einer falschen Admin-Authentifizierung, Ihr ganzes Sytem infizieren können, mit der Folge der Notwendigkeit, das System neu aufsetzen zu müssen.
- Erst jetzt können Sie sich ins Internet einwählen. Rufen Sie als ersten Schritt das Windowsupdate über den Internet Explorer auf, prüfen auf evtl. vorhandene Patches und installieren diese.
- Laden und installieren Sie von Hand die Autorun-Patches (wichtig für XP und Vista; Windows 7 mit beinhaltet bereits standardmäßig diesen Schutz für Wechseldatenträger) - damit werden Schädlinge von Wechseldatenträgern (USB-Sticks, Speicherkarten, externen Festplatten, usw.) nicht mehr automatisch beim Zugriff auf selbige aktiv.
Hier die Downloads für Windows XP SP3, Windows Vista SP2 (32 Bit), Windows Vista SP2 (64 Bit) und Windows 7 (32- und 64-Bit-Downloadlinks auf der genannten Seite).
B.) Konfigurieren Sie Ihr Betriebssystem sinnvoll. Aktivieren Sie dazu in der Systemsteuerung die leider standardmäßig augeblendeten Erweiterungen:
a) Rufen Sie die Systemsteuerung über >Arbeitsplatz >Systemsteuerung auf.
b) Wechseln Sie dort in die Ordneroptionen, Registerkarte Ansicht.
c) Nehmen Sie
folgende Einstellungen (unterschiedlich je nach Betriebssystem) vor:
- Haken entfernen bei "Geschützte Systemdateien ausblenden".
- Haken entfernen bei "Dateinamenerweiterungen bei bekannten Dateitypen ausblenden".
- Haken setzen bei "Inhalte von Systemordnern anzeigen".
- Haken setzen bei "Alle Dateien und Ordner anzeigen".
- Haken setzen bei "Versteckte Dateien und Ordner anzeigen".
Für Windows 7 sieht das z.B. so aus (die roten Pfeile markieren, welche Kästchen von Bedeutung sind):
C.) Halten Sie Ihr Betriebssystem sowie genutzte, sicherheitsrelevante Anwendungen stets aktuell; spielen Sie verfügbare Patches zeitnah ein. Bedenken Sie, dass jede Software - von Menschenhand programmiert - prinzipiell Fehler enthält. Aus dieser Tatsache ergibt sich, dass das Einspielen von Bugfixes ein sich immer wiederholender Vorgang ist. Es reicht also nicht, z.B. einmal jährlich Updates zu installieren.
Prüfen Sie besser regelmäßig (einmal wöchentlich) und halten Sie sich durch Lesen der zum Thema
berichtenden Webseiten auf dem Laufenden.
D.) Stellen Sie in den nächsten Schritten sicher, besonders anfällige oder sehr stark mit dem Betriebssystem verwobene Programme durch sicherheitstechnisch besser designte bzw. nicht so stark an des Betriebssystem gebundene zu ersetzen.
Erster Tauschkandidat ist der für ein sicheres Surfen nicht immer optimal geeignete
Internet Explorer (IE)/
IE7/
IE8/
IE9 - zudem fällt er durch eine vergleichsweise weniger standardkonforme XHTML-/CSS-Darstellung auf. Er sollte daher durch Alternativen wie z.B.
Mozilla Firefox (->
Download Firefox) oder
Opera (->
Download Opera) in
jeweils aktuellen Versionen ersetzt werden. Das heißt nicht, den IE zu deinstallieren - Sie können ihn z.B. für das Windowsupdate nutzen.
Verzichten Sie auch möglichst auf Outlook (Express) oder andere Mailprogramme wie z.B. IncrediMail, die zur Darstellung der Mails den Internet Explorer nutzen oder aktive Inhalte darstellen (Scripting, Active X, usw.). (Hinweis: Neue Outlook-Versionen greifen dazu auf MS Word zurück - auch das ist sicherheitstechnisch nach dem Prinzip der Minimierung der Angriffsfläche nicht unbedingt eine bessere Lösung.)
Alternativen in Form von beispielsweise
Pegasus Mail oder
Mozilla Thunderbird (Empfehlung, Download
hier) gibt es genug. Stellen Sie aber auch hier sicher, dass die Anzeige für Mails stets im Format "Nur Text" aktiviert ist. HTML und Scripte sollten für das Mailen nicht aktiviert sein.
E.) Seien Sie vorsichtig im Umgang mit Dateien aus dem Internet:
- Führen Sie Dateianhänge in E-Mails nicht einfach aus, auch dann nicht, wenn Ihnen der Absender bekannt vorkommt oder der Text der Mail zum Öffnen der Anhänge direkt oder indirekt auffordert. Fragen Sie, wenn Sie sich unsicher sind, am besten vor einem Ausführen nach oder senden die Datei ein.
- Die gleiche Vorsicht ist geboten, wenn in Mails zum Anklicken von Links aufgefordert wird. Prüfen Sie immer, ob der Link auch wirklich zum richtigen Ziel führt (Stichwort Phishing). Besteht auch nur der geringste Zweifel, gilt: Nicht anklicken!
© Markus Klaffke 2004-2011 | Kommentare, Anregungen, Verbesserungsvorschläge bitte an die
hier abrufbare Adresse mailen - vielen Dank!