Sicherheit und Datenschutz

Windows XP absichern

winXP01Inzwischen sind seit dem offiziellen Supportende von Windows XP SP3 im April 2014 schon über zwei Jahre vergangen. Im März 2016 hatte Windows XP in Deutschland noch einen Marktanteil von 3,4% (vgl. Windows 7: 38%, Windows 10: 21%, Linux: 2,6% | Quelle: de.statista.com), was zeigt, dass das inzwischen 15 Jahre (!) alte Betriebssystem noch auf einigen Rechnern anzutreffen ist, mal abgesehen von verschiedenen Großkunden (Geldautomaten, Behörden), welche für teures Geld noch bis 2019 mit Sicherheitsupdates versorgt werden. Da aber seit April 2014 für Privatanwender keine Sicherheitsupdates mehr verfügbar sind, bestehen mit danach entdeckten Sicherheitslücken für potentielle Angreifer und Schädlinge viele Eintrittsmöglichkeiten!

Sicher sind es nicht nur die „einsamen Wölfe“, die ein Update des Betriebssystems ablehnen, es kann auch andere Gründe haben. Ich habe hier zum Beispiel einen alten Acer Aspire 5315 Laptop (ca. 2008), da läuft XP einfach super drauf. Sicher, ursprünglich mit Windows Vista bzw. 7 im Handel, aber mit 2Gb RAM läuft Windows XP einfach viel schneller. Und dann wäre da noch das unglaubliche Nostalgiegefühl, das entsteht, wenn man nach Jahren mal wieder Windows XP startet und einen alten Spieleklassiker darauf installiert…

Hier nun einige Tipps, wie man sich mit Windows XP weitestgehend absichern kann (von der Verwendung mit sensiblen Passwörtern oder gar Online-Banking rate ich ab).

1. Aktuelle Software benutzen

Die in Windows XP enthaltene Onboardsoftware nicht benutzen oder am besten gleich über Bord werfen. Damit gemeint ist der Internet Explorer 8, Windows Media Player 11, Outlook Express, Office, Movie Maker, Remote Desktop, (…). All die Software wird in den vorliegenden Versionen nicht mehr aktualisiert und ist ein erhebliches Sicherheitsrisiko, da über infizierte Multimediadateien Schadcode eingeschleust werden kann. Als Alternative bieten sich Firefox (Chrome unterstützt 32Bit nicht mehr!), Thunderbird, LibreOffice, VLC Media Player und andere kostenlose Software an – Auswahl gibt es da genug.

2. Risiken abschalten

Unter diesen Punkt fallen verschiedene Aspekte. Zum einen sollte der Autostart von Datenträgern deaktiviert werden. Dazu

als Admin Ausführen (WinTaste+R) öffnen und gpedit.msc eingeben. Unter Computerkonfiguration -> Administrative-Vorlagen -> System kann der Autostart deaktiviert werden.

Weitere empfehlenswerte Systemeinstellungen wie das Deaktivieren des Scripting-Hosts sowie der uPnP-Untersützung und der Remote-Desktop-Funktion könnt ihr bequem mit dem altbekannten Tool XPAntiSpy durchführen.

Außerdem solltet ihr besonders anfällige Software, wie zum Beispiel das Java Browser Plugin sowie den Adobe Reader und Flash Player, sicherheitshalber nicht installieren. Die meisten Websites haben inzwischen schon auf HTML5 umgestellt, so dass der Flash Player nicht mehr benötigt wird und Firefox unterstützt nativ die Anzeige von PDF-Dokumenten, ansonsten gibt es noch kostenfreie Alternativen, wie SumatraPDF oder NitroPDF Reader.

Es ist empfehlenswert, die hosts Datei unter

C:\WINDOWS\system32\drivers\etc

mit Adminrechten als schreibgeschützt zu markieren. Dadurch verhindert ihr, dass Malware diese einfach manipulieren und möglicherweise DNS-Anfragen umleiten kann. Die hosts-Datei ist im Normalfall leer (außer dem Infotext).

3. Date Execution Prevention (DEP) maximieren

DEP ist ein nützliches Sicherheitsfeature, welches das Ausführen von Schadcode im Arbeitsspeicher verhindern soll. Standardmäßig ist diese Funktion nicht immer aktiviert. Unter

Systemsteuerung -> System -> Erweitert -> Leistungsoptionen -> Datenausführungsverhinderung

kann DEP für alle Anwendungen aktiviert werden. Dies erhöht die Sicherheit. Sollte es dadurch zu (eher seltenen) Anwendungsfehlern kommen, können dort auch Ausnahmen definiert werden.

4. zusätzlicher AV-Schutz, Firewall

Natürlich ist Prävention am besten, trotzdem sollte ein aktueller Virenscanner an Bord sein. Während Avira keinen Support mehr für Windows XP bietet, funktioniert die kostenlose Antivirensoftware von AVG, Avast und Bitdefender noch. Außerdem schadet es nie, noch eine Alternative wie das ressourcenschonende ClamWin an Board zu haben. In einem anderen Beitrag habe ich bereits beschrieben, wie man sich zusätzlich mit portablen Sicherheitstools schützen kann. Stellt außerdem sicher, dass die Windows Firewall aktiviert ist (Systemsteuerung). Die meisten aktuellen Firewalls unterstützen kein Windows XP mehr, aber es gibt eine kostenlos Alternative, um den Schutz zu verbessern:

button_2k button_xp Ghostwall Firewall ist kompakt, übersichtlich, ressourcensparend und rückwärtskompatibel mit Windows XP, 2000.

5. Eingeschränktes Benutzerkonto einrichten

Das User Account Control (UAC), welches seit Windows Vista an Bord ist, gibt es unter Windows XP nicht, standardmäßig ist ein Administratorkonto aktiv. Es ist sehr empfehlenswert, sich nach dem Einrichten von Windows und der Installation der ganzen Software ein Benutzerkonto mit eingeschränkten Benutzerrechten einzurichten. Unter diesem Konto hat man keinen Zugriff auf wichtige Systemeinstellungen und Windows-Systemdateien. Sollte sich der Rechner dann infizieren, fällt der Schaden geringer, bzw. nur auf das Konto bezogen aus, da durch die eingeschränkten Zugriffsrechte schlimmeres verhindert werden kann.

6. Alle Updates installieren, Windows Update Hack

button_download3 Nach der Installation von Windows XP solltet ihr sicherstellen, dass das Service Pack 3 sowie alle nachfolgenden Updates installiert sind. Am einfachsten geht es das mit einem Update-Pack z.B. von WinFuture. Besonders nach einer Neuinstallation kann man damit viel Zeit sparen! Beachtet außerdem, dass es z.B. für nachträglich installierte Laufzeitumgebungen wie das .NET Framework auch Sicherheitsaktualisierungen gibt, die ebenfalls über Windows Update bezogen werden sollten.

Und noch ein Trick: Es kursieren im Internet Anleitungen, wie man mit einem Registry-Hack weiterhin Windows Updates erhalten kann, obwohl diese nicht mehr für Endanwender gedacht sind (also auf eigenes Risiko!). Dabei wird die Bezugsquelle für Updates in der Registrierung geändert.

7. Verschlüsselung von wichtigen Daten und Backups

In Bezug auf die potentielle Anfälligkeit von Windows XP ist es empfehlenswert, sensible Daten zu verschlüsseln und sie so vor Diebstahl zu schützen. Sowohl Mozilla Firefox als auch Thunderbird bieten in den Einstellungen eine Verschlüsselung der gespeicherten Formulardaten mithilfe eines Masterpassworts an.

Mit dem kostenlosen Nachfolger von TrueCrypt, VeraCrypt können verschlüsselte Datenträger und Dateien erstellt und wichtige Daten so vor fremdem Zugriff geschützt werden.

Es sollten regelmäßig Datensicherungen gemacht werden. Windows bietet unter Zubehör -> Systemanwendungen bereits ein Sicherungsprogramm an, ansonsten gibt es genug Freeware-Angebote im Internet. Mit dem kostenlosen Tool Cryptomator können Backups verschlüsselt und in kleinere Dateihäppchen aufgeteilt werden, um sie bequem auf Onlinespeicher hochladen zu können.

8. EMET 4.1

In vielen Artikeln von 2014 wird Microsofts Tool EMET als Sicherheitsfeature empfohlen. Es „härtet“ viele Anwendungen gegen häufige Angriffsarten von Malware ab. Leider gibt es die letzte Version, welche Windows XP noch unterstützt, nämlich 4.1, nicht mehr offiziell als Download. Ich konnte an dieser Stelle keinen Link finden. Wenn ihr es dennoch auftreiben könnt, freue ich mich über einen Hinweis!

Alternativ zu Windows XP bieten sich übrigens auch leichte Linuxdistros wie Ubuntu MATE, Xubuntu oder Knoppix an, wenn man auf die Windows-Plattform verzichten kann.

Anti-Malware to go!

malwareportable3

++ 173 Mb für einen sauberen Rechner ++ Portable Apps ++

In einem Beitrag vom Februar 2015 habe ich bereits einige kostenlose Virenscanner aufgelistet und deren Funktionsumfang verglichen. (…)

Es gibt aber auch eine ganze Reihe von portablen Viren- und Malwarescannern, die nur wenige Megabytes groß sind und sich z.B. auf einem USB-Stick überall hin mitnehmen lassen. Zum Beispiel, wenn man einen fremden Rechner für sensitive Arbeit benutzt – oder man den bereits installierten Virenscanner ergänzen möchte. Hier einige Vorschläge:

clamwin1ClamWin Portable (125 Mb) basiert auf dem quelloffenen Virenscanner ClamAV, dessen Erkennungsraten können sich sehen lassen. Das Interface lässt eine sehr detailierte Konfiguration zu (wie das geht, habe ich bereits beschrieben) und lässt sich deshalb auf invidiuelle Bedürftnisse gut anpassen. Es können einzelne Dateien oder das ganze System untersucht werden. Der Speicherbedarf ist hier etwas größer, allerdings lassen sich die Erkennungsdatenbanken aktualisieren (oder gegebenfalls wieder löschen). Download ->

malwareportable4Der AdwCleaner (1,53 Mb) ist ein schlankes Tool, welches sich auf die Entfernung von Adware, Hijacker, Toolbars (wie oft in Installern eingeschmuggelt) und anderen Potentiell Unerwünschten Programmen (PUP) spezialisiert hat. Der Suchdurchlauf ist sehr flott und Funde können direkt entfernt werden. Das Tool ist sehr klein, bei einem Update muss aber jeweils die aktualisierte Executable heruntergeladen werden. Download ->

malwareportable6Der McAfee Stinger (14,5 Mb) spürt über 2000 der „gefährlichsten“ Viren, Trojaner und Würmer auf. Das Tool vom bekannten AV-Hersteller ist in einer kompakten Datei gepackt und scannt den PC recht flott. In der neuesten Version ist auch das optionale Feature „Raptor“ enthalten, ein rudimentärer Echtzeit-Monitor. Download ->

malwareportable7Detect (27,2 Mb) ist vor allem durch den Wirbel um Staatstrojaner bekannt geworden. Das Tool spürt einige spezielle, hartnäckige Trojaner auf, die im Verdacht stehen, von diversen Staaten zur Überwachung von z.B. Bloggern benutzt zu werden. Entfernt werden die Schädlinge allerdings nicht, sondern lediglich gemeldet und Hilfsmöglichkeiten aufgezeigt. Das Programm ist Open Source, plattformunabhängig und wird unter anderem von Amnesty International gefördert. Download ->

malwareportable8herdProtect Portable (5,21 Mb) ist noch nicht so lange auf dem Markt. Das Programm nutzt 68 (!) bekannte Malware-Scanengines in Kombination mit einer Cloud-Technologie und verspricht so eine besonders hohe Erkennungsrate. Für einen richtigen Scan wird deshalb eine Internetverbindung benötigt, das Suchen dauert außerdem (je nach Datenmenge) seine Zeit. Natürlich sollte man sich dessen bewusst sein, dass dabei auch Daten in die Cloud gesendet werden (müssen). Vielversprechend klingt das aber auf jeden Fall schon einmal. Download ->

Und wenn gar nichts mehr geht…

Wenn Windows nicht mehr booten will oder ihr den Rechner lieber nicht mehr starten wollt, könnt ihr euch ein Live-Medium herunterladen, welches isoliert von Windows läuft. Die Schadsoftware wird dann im idealfall auch nicht gestartet.

Avira Rescue System – Speziell aufbereitetes Linux-Live-Betriebssystem zur Datensicherung und Bereinigung des Systems. Download ->

AVG Rescue CD – Verwaltungstools, Scanfunktionen und Datensicherung vom Live-System. Download ->

Lesetipp: Zum „Ende“ von Windows 7 (spon)

Der Spiegel hat vor einiger Zeit einen lesenswerten Artikel (klick mich!) zum „Ende“ von Windows 7 veröffentlicht:

Microsoft bereitet sich auf Windows 10 vor, doch die Nutzer hadern noch mit den Vorgängern. Windows 7 ist am beliebtesten, Windows 8 hat sich nicht durchgesetzt – und viele nutzen immer noch das veraltete XP. (…)