Tipps zum Thema Sicherheit am PC

Aus Gargi.org
Zur Navigation springen Zur Suche springen

Eines muss man zu Beginn dieses Artikels ganz klar sagen: Eine 100%ige Sicherheit wird es vermutlich nie geben, außer man zieht den Stecker. Dafür sind Computer und Software mittlerweile so komplex geworden, dass es immer wieder Sicherheitslücken geben wird, die vielleicht auch erst nach Jahren bemerkt werden. Seit Januar 2018 sind beispielsweise die Spectre- und Meltdownlücken über alle Medien hinweg bekannt geworden, was ganz deutlich zeigt, dass immer irgendwelche Risiken bestehen.

Dennoch gibt es viele Dinge, die man tun kann, um zumindest sich aktiv mit machbaren Mitteln soweit zu schützen, dass man nicht gleich in jede Falle tappt. Hierzu muss man oft auch kein IT Experte sein, manchmal reicht auch der gesunde Menschenverstand. Natürlich gibt es auch unglückliche Situationen, für die man einfach nichts kann.

Computer werden vielseitig genutzt. Meist beruflich ... man arbeitet möglicherweise mit sensiblen Daten, oder man verwendet ihn einfach nur privat, um damit bei einem Spielchen Spaß zu haben. Egal was der Hintergrund der Nutzung moderner IT Technik ist, egal ob PC, Laptop, die Spielekonsole oder das Smartphone, man muss sie auch pflegen. Von daher folgende Hinweise und Empfehlungen, die natürlich keinen Anspruch auf Vollständigkeit haben, aber mir bislang gute Dienste geleistet haben.

Das Betriebssystem

Bitte erwartet nicht, dass ich jetzt eine Empfehlung für "das sicherste Betriebssystem" abgebe. Das werde ich natürlich tunlichst unterlassen. Aber egal auf welche Fensterwelt ihr setzt, es gelten für alle die gleichen Regeln:

  • Nutzt die aktuelle Version! Alte Betriebssystemversionen werden irgendwann nicht mehr mit Sicherheitspatches versorgt. Sobald der Support offiziell dafür eingestellt ist, ist es auch höchste Eisenbahn, auf ein aktuelles OS umzusatteln. Gerade sensible Daten - beispielsweise von Kunden - haben auf veralteten Betriebssystemen rein gar nichts verloren!
  • Updaten, und zwar gleich! Unterstützte Betriebssysteme bekommen regelmäßige Updates. Diese bitte gleich einspielen. Sehr häufig schließen sie bekannt gewordene Sicherheitslücken und dichten das System weiter ab. Das gilt auch immer für verwendete Software, insbesondere den Browsern und E-Mailprogrammen sowie auch für Systemtreiber und das Systembios. Treiber- und Biosupdates hält der jeweilige Hersteller der Hardware zum Download bereit.
  • Niemals den Rechner als Systemadministrator nutzen! In der Regel bieten moderne Betriebssysteme an, sich sowohl mit Administratoren Rechten als auch mit normalen Nutzer Rechten anzumelden. Der Administratoren Account sollte immer passwortgeschützt sein. Zudem dann einen normalen Benutzer einrichten und nur mit diesen arbeiten. Sollten Programme installiert werden, dann wird zwar immer ein Passwort abgefragt, aber es verhindert, dass einem zu schnell ungefragt etwas untergejubelt wird.

Virenscanner

Ein aktueller Virenscanner gehört ebenso mit auf das System. Einen 100%igen Schutz gerade gegen sehr spezielle oder ganz neue unbekannte Viren kann es auch nie geben, aber ein sehr großer Teil kann damit verhindert werden. Einige Betriebssysteme liefern mittlerweile eigene Scanner mit, aber auch hier kann/sollte man auf einen zusätzlichen Scanner setzen, der oftmals weitere Features wie Firewalls, E-Mail Scanner und vieles mehr mit sich bringt. Bitte nutzt einen namhaften Anbieter und informiert Euch, welcher Scanner für Euch geeignet ist. Ich werde hier keine Produktempfehlung abgeben, aber die Fachpresse testet oft verschiedene Anbieter. Dort erhält man sehr schnell einen umfangreichen Überblick.

Der Scanner sollte immer aktiv im Hintergrund laufen und auch regelmäßig aktualisiert werden. Das erledigen die Scanner in der Regel selbsttätig. Meldet ein Scanner einen Virus, können diverse Maßnahmen angewendet werden. Oft findet sich zudem beim Hersteller auf dessen Internetseite eine aktive Community, die bei Fragen weiterhelfen kann.

Auch gibt es Boot CDs mit Virenscannern, die gerne als Heft CD mancher IT Fachzeitschrift beiliegen. Auch diese verwende ich von Zeit zu Zeit um einen "Großscann" durchzuführen. Der Rechner wird von dieser CD in ein Linuxsystem gestartet und von dort aus die Festplatte auf Schädlinge durchsucht.

Ohne einen Virenscanner online zu gehen geht gar nicht! Zumal einige gute Virenscanner sogar kostenlos oder auch preiswert zu beziehen sind. Hier gibt es einfach keine Ausreden!

Browserplugins

Haupteinfallstor ist nach wie vor das Internet oder die E-Mail. Von daher verwendet immer einen aktuellen Browser. Installiert keine unsinnigen Plugins! Werbe- und Scriptblocker können einen zusätzlichen Schutz vor unerwünschten Schädlingen bieten, aber auch hier gilt: Bitte vorher informieren, welche Plugins seriös und in Ordnung sind. Bewertungen bei den über den Browser angebotenen Plugins können hier schon mal ein erster Anhaltspunkt sein. Manche Virenscanner liefern ein eigenes Plugin mit, das Auskunft über eine Seitenreputation geben kann. Auch das hilft hier bei der Entscheidung, ob man eine angezeigte Seite anklickt oder nicht.

Downloads

Wenn Ihr Daten aus dem Netz herunter ladet, dann sollten das zum einen natürlich legale Downloads sein und zum anderen auch immer wenn möglich auf der Seite des Herstellers getan werden. Unseriöse Drittanbieter reichern auch manche sonst harmlosen Programme mit Bloatware an oder infizieren sie gar bewusst mit einem Virus. Ebenso empfehle ich, einen Download erstmal mit einem Virenscanner auf Schädlinge zu prüfen, bevor man damit weiter arbeitet! Das kann zum einen der lokale Scanner sein. Ebenso bietet beispielsweise der Onlinedienst [VirusTotal] einen Scan mit einer Vielzahl von Virenscannern an. Allerdings kann es schon mal zu einer Falschmeldungen kommen. Die Entscheidung liegt letztendlich dann beim Nutzer, ob er einer Datei dennoch vertraut. Im Zweifel die Datei nicht ausführen! Beim Scannen einer Datei bitte beachten, dass hier keine Dateien mit sensiblen Inhalt hochgeladen werden, denn auch hier kann man sich nie sicher sein, ob der Upload zum Scannen gespeichert oder mitgelesen wird.

Auf VirusTotal kannst Du zudem auch eine URL einer Website eingeben. Dort wird die Seite auf möglichen Schadcode analysiert und gegebenenfalls eine Warnung ausgegeben.

Verschlüsselung

Festplatten oder andere Datenträger mit sensiblen Daten gehören verschlüsselt! Hier gibt es teilweise vom Betriebssystem mitgelieferte Möglichkeiten, oder aber man kann sich auch entsprechende Software zur Verschlüsselung kaufen. Auch hier informiert Euch bitte entsprechend, welche Verschlüsselungssoftware für Euch am besten geeignet ist. Für einzelne Dateiarchive gibt es z.B. das kostenlose Open-Source Programm 7-Zip. Wie man Dateien mit AES 256 verschlüsselt habe ich hier erklärt: Verschlüsseln mit 7-Zip.

E-Mails

Phishing- oder Viren Versand ... egal wie versucht wird, Eure Daten abzugreifen oder man Euch einen Trojaner unterjubeln möchte, die E-Mail ist ein beliebtes Medium für solche fiesen Aktionen. Deswegen:

  • Öffnet niemals einen Anhang unüberlegt. Wenn Ihr keine Rechnung erwartet, dann bedeutet das in der Regel nichts Gutes!
  • Verhindert das Anzeigen von Bildern in einer E-Mail. Dateien sollten niemals ungefragt bei der Anzeige einer Mail aus dem Netz geladen werden. Mailclients sollten sowas im Vornherein abgestellt haben. Falls nicht, umgehend abstellen!
  • Lasst einen Virenscanner immer Euren Posteingang überprüfen, bevor Ihr eine Mail öffnet.
  • Nutzt einfach den gesunden Menschenverstand! Die meisten Phishing- oder Schadmails sind schon an der Vielzahl an Rechtschreibfehlern oder unsinnigen Formulierungen zu identifizieren.

Passwörter

In der Regel versucht man über verschiedene Wege, an Passwörter zu kommen. Es werden Server gehaackt, Hashwerte mitgeschnitten, einfache Passwörter mittels Wörterbücher ausprobiert (brute force), über Phishing Mails abgefragt, mittels Trojaner, Backdoors, Keylogger mitgeschrieben oder gar Funktastaturen abgehorcht. Die Methoden sind vielseitig und unterschiedlich.

Verwendet deshalb immer gute, lange und nicht einfach zu erratenden Passwörter. Dabei sollten Zahlen, Sonderzeichen und Groß- und Kleinschreibung verwendet werden. Idealerweise nutzt Ihr auch immer unterschiedliche Passwörter. Sollte tatsächlich einmal ein Portal, das ihr nutzt, gehackt und die Daten abgezogen worden sein, dann müsst Ihr eventuell nur dort das Passwort ändern. Ansonsten solltet ihr umgehend überall dort, wo ihr das gleiche Passwort benutzt, eine Änderung durchführen. Werden es zu viele Passwörter, dann kann man diese über einen Passwort Safe organisieren. Informiert Euch bitte, falls ihr einen Safe nutzen wollt, welche hier sicherheitstechnisch empfohlen werden.

Falls Ihr mal über eine E-Mail zur Eingabe eines Passworts aufgefordert werdet (beliebt: "Ihr Konto wurde gesperrt, bitte verifizieren ...."), dann ist das zu 99,99999999% eine Phishing Mail. Falls Ihr nicht ABSOLUT sicher seid, dass dies an der Stelle so sein muss (weil Ihr ein neues Passwort an einem Portal angefragt habt, weil Ihr Euch irgendwo neu angemeldet habt und das zum Registrierungsprozess gehört) fragt lieber beim vermeintlichen Absender - bitte auch hier niemals über einen Link aus der Mail heraus, sondern direkt im Browser selbst eingeben - nach , ob die Abfrage tatsächlich echt ist.

Vermeidet Funktastaturen, gerade falls Ihr mit Kundendaten umgeht.

Backups

Datensicherung ist wichtig und sollte regelmäßig durchgeführt werden! Auf Gargi.org beschreibe ich eine sehr komplexe aber effektive Variante:

Windows Backups mittels rsync auf einen Linux Server

Es gibt natürlich auch Programme, die Ihr kaufen könnt um entsprechende Datensicherungen durchzuführen. Oftmals genügt auch das manuelle Kopieren der wichtigsten Verzeichnisse auf einen externen Datenträger. Ich empfehle immer zwei Arten von Backups:

  1. Das Systembackup: Hier ziehe ich regelmäßig ein Image meiner Systempartition. Dabei können kommerzielle Programme helfen oder auch freie Opensource Software wie Clonezilla Das generierte Image wird immer dann zusätzlich auf eine exteren Festplatte von mir manuell weggesichert. Sollte ich mal über ein Update mein System zerschießen oder wirklich der Supergau eines Virenbefalls eintreten, so kann man über das Image eine ältere Version des Systems wieder komplett zurück sichern.
  2. Dateibackup: Hier sichere ich dann meine wichtigsten Daten wie meine privaten Fotos oder Dokumente sowohl auf eine zweite interne Festplatte als auch zusätzlich über ein Netzwerkbackup auf eine Netzwerkfestplatte. Ganz extrem wichtige Daten wie Erinnerungsfotos brenne ich dann auch zusätzlich auf einen optischen Datenträger, wie der sehr robusten M-Disc.

Wichtig ist, die Backups außerhalb seines PC Systems zu lagern. Fängt eine Ransom Software an, Daten auf der Platte zu verschlüsseln, ist alles verloren, sobald dort auch die Backups auf der gleichen Maschine liegen. Auf einem externen, entkoppelten Datenträger hat man zumindest seine Daten weiterhin zur Verfügen und "nur" die Arbeit, sein System neu aufzusetzen. Erpressbar ist man dadurch nicht mehr.

Manche spielen mit den Gedanken, Sicherungen über eine Cloud anzulegen. Dabei sollte man sich immer im Klaren sein, dass man seine Daten in fremde Hände gibt. Sensible Daten gehören keinesfalls in die Cloud, zumindest nicht unverschlüsselt und mit einem Passwort abgeriegelt. Wer technisch affin ist, der kann eine eigene Cloud in seinem privaten Netzwerk erstellen. Wie das funktioniert, habe ich in meinem Tutorial hier erklärt: Owncloud installieren .

USB Speicher Sticks

Vorweg: Ich mag keine USB Sticks. In manchen Bereichen verwende ich sie, aber in der Regel nur wie folgt:

  • Nur selbst gekaufte, frische Sticks, keine Werbegeschenke, keine alten Sticks von Freunde und Bekannte
  • Sie dienen mir in der Regel als Startmedium für mein Backupsystem Clonezilla, als Speichermedium für Flashfiles zum Flashen meines Mainboards, als Installationsmedium für Windows, aber nur für meine eigenen Maschinen, niemals bei anderen fremden Rechnern

Wenn ich Dateien austauschen möchte, mache ich das intern bei mir über mein Netzwerk oder extern über ein Cloudsystem, das ich für sicher halte und ggf. auch wichtige Daten verschlüssle.

Warum ist das so? Mir geht es zwar auch darum, dass auf den USB Stick durch Viren verseuchte Daten vorhanden sein können. Die sollte ein ordentlicher Virenscanner weitgehend im Griff haben. Aber: Ein USB Stick hat auch Startbereiche, die Schädlinge außerhalb der normalen Dateistruktur beinhalten können. Somit kann auch ein leerer USB Stick eine Bedrohung sein. Auch das sollte ein Virenscanner erkennen, aber das Fatale ist, der Infektionsprozess wird bereits beim Einstecken aktiv und nicht erst beim Öffnen einer Datei. Da man nie weiß, wo überall der Stick schon im Einsatz war, kann man nie ausschließen, dass dieser bereits infiziert wurde. Und die Wahrscheinlichkeit steigt ins Unermessliche, je länger der Stick bereits im Umlauf ist.

Habt Ihr schon mal einen USB Stick irgendwo gefunden? Im Zug, auf der Straße, am Parkplatz vor Eurem Geschäftsgebäude, am Kundenschalter (irgendein Kunde hat den anscheinend liegen lassen)? Die Versuchung ist sehr groß, mal schnell zu schauen, was da drauf ist! In der Welt der Firmenspionage - die es nicht nur im Kino gibt - ist das ein beliebter und meist erfolgreicher Trick, sogar gezielt Trojaner in ein Firmennetz zu schleusen. Deswegen sollten auch in solchen Netzwerksystem die USB Ports NIEMALS offen stehen. Und trotz Eurer Neugierde gehört mit solchen gefunden USB Sticks nur genau eines angestellt: Mit einem großen Hammer draufhauen - oder an Eure IT Abteilung abgeben, dann können die das für Euch erledigen!

Schlusswort

Ich werde diesen Artikel von Zeit zu Zeit erweitern und überarbeiten. Wie gesagt, die 100%ige Sicherheit gibt es nicht, aber man ist deutlich beruhigter, wenn man zumindest das tut, was in seiner Macht steht.

Von daher, Augen auf - aber bitte keine Paranoia entwickeln!