Gerätesicherheit: Kernisolierung konnte nicht aktiviert werden (Windows 10/11)

In diesem Beitrag möchte ich euch kurz zeigen, wie ich bei meinem Gerät mit Windows 11 die Kernisolierung wieder aktiviert habe.

Seit April 2018 [1] gehört das Feature der Kernisolierung (Core Isolation) zu den Maßnahmen von Microsoft, welche die Sicherheit und Integrität des Betriebssystems erhöhen sollen, indem bestimmte Anwendungsprozesse isoliert von der Betriebssystemungebung ausgeführt werden. [2] Ich habe dem Feature eigentlich nie große Aufmerksamkeit gewidmet, bis ich vor einigen Wochen auf einmal ein gelbes Warndreieck bei meiner Windows-Sicherheit in der Taskleiste (ehem. Sicherheitscenter o. Defender) entdeckte.

Scheinbar hat Microsoft vor kurzem die Liste der zur Kernisolierung kompatiblen Treiber aktualisiert [3], wodurch sich unter bestimmten Treiberkonstellationen nun die Funktion sich nicht mehr aktivieren lässt.

Nach einer Suche im Netz fand ich den Tipp, man solle doch einen „benutzerdefinierten Systemstart“ ohne weitere Dienste und Treiber (über msconfig / Systemkonfiguration) starten, dann ließe sich die Aktivierung der Kernisolierung erzwingen. Also, gesagt getan … nach einem Neustart konnte ich mich allerdings aufgrund eines Fehlers nicht mehr in Windows anmelden (ich hatte die Windows Hello PIN statt Passwort aktiviert), auch der klassische abgesicherte Modus funktionierte nicht mehr, so dass ich deswegen tatsächlich einen Systemwiederherstellungspunkt laden musste (was mir schon lange nicht mehr vorgekommen ist). Davon kann also nur dringend abraten.

Problematischen Treiber löschen

Konkret ging es um den Treiber lgvirhid.sys, ein Teil des Logitech-Treiberdienstes meines alten Gaming-Headsets. Da ich das Headset eigentlich kaum nutze, deinstallierte ich die Software regulär, das Problem blieb aber bestehen. Ein weitere Option, die ich im Internet gefunden hatte, schlug das gezielte Entfernen des Probleme verursachenden Treibers aus dem Windows-Treiberspeicher vor [4]. Und zwar so

Dazu öffnet ihr wahlweise die Eingabeaufforderung (cmd) oder das neue Windows-Terminal (Powershell) und führt folgenden Befehl aus

pnputil -e

Oder, wenn ihr wie ich von der Ausgabeflut überwältigt seid, könnt ihr die Ausgabe in eine Datei umleiten (hier als Beispiel direkt aufs Laufwerk C) und dann diese bequem mit einem Editor eurer Wahl nach dem passenden Treiber durchsuchen. [5]

pnputil -e > C:\drivers.txt

Wichtig ist es dabei, den betreffenden Treiber zunächst nach dem „Originalname“ zu suchen und sich den „veröffentlichten Namen“ in der Form oem*.inf zu notieren. Dieser kann dann mit dem Befehl

pnputil -d -f oem*nr*.inf

gelöscht werden. Beachtet dabei aber unbedingt, dass das entsprechende Gerät danach unter Umständen nicht mehr funktioniert, da ihr ja den Treiber entfernt. Eventuell ist es also sicherer, zunächst einen Windows-Wiederherstellungspunkt anzulegen (Eingabe „Wiederherstellung..“ im Startmenü).

Problematischen Treiber aktualisieren (empfohlen)

Der problematische Treiber in meinem Fall – lgvirhid.sys – war allerdings hier gar nicht aufgelistet. Ich vermute, da er nicht direkt mit der Geräteansteuerung in Verbindung steht. Jedenfalls habe ich dann im Internet tatsächlich eine neuere Version des Treibers gefunden, die ich dann installiert – und anschließend wieder deinstalliert habe (da ich das Headset nicht mehr benutze). Es lohnt sich also vielleicht, zunächst nach einem Update zu schauen, bevor man sich wie ich die Mühe macht und versucht, den Treiber zu löschen.

Den Blogbeitrag zu dem Vorgang, den ich zu diesem Zeitpunkt schon begonnen hatte, wollte ich trotzdem hier stehen lassen, da die Option vielleicht auf andere Treiber zutrifft oder mir in der Zukunft nützlich sein könnte. 🙂

Linux-Tagebuch #12 – Sicherheit, Firewall und Virenscanner

In dieser mehrteiligen Beitragsreihe versuche ich mich aus Sicht eines Windows PC-Nutzers dem Linux-Desktop als Betriebssystem zu nähern. Dabei möchte ich dieses als Linux-Anfänger selbst besser kennen lernen und zu verstehen versuchen. Zu Teil 1…

In diesem Beitrag möchte ich meine Gedanken festhalten, die ich mir zum Thema „Sicherheit“ bei der Benutzung von Ubuntu 20.04 LTS als Betriebssystem gemacht habe. Ich bin sicherlich kein Experte auf dem Fachgebiet, aber der ein oder andere Kniff lässt sich als Normal-Nutzer meiner Meinung nach dennoch leicht umsetzen.

Das Sicherheits-ABC

Wie auch bei Windows gelten unter Ubuntu die gleichen Grundregeln für die Sicherheit im Umgang mit dem Computer. Man sollte stehts…

das System aktuell halten,
sichere und unterschiedliche Passwörter wählen,
möglichst auf ungeprüfte Fremdquellen (wie PPAs) verzichten,
vorsichtig mit Mail-Anhängen sein,
Programme nicht mit mehr Rechten starten, als für en Anwendungszweck notwendig,
Downloads und Skripte nicht gedankenlos ausführen,
Sensible Daten getrennt speichern oder verschlüsseln

Die Liste ließe sich bestimmt beliebig ergänzen, das soll auch gar nicht der Schwerpunkt dieses Beitrags sein. Hier findet ihr übrigens eine interessante Sammlung aus dem ubuntuusers Wiki dazu. Ich möchte an dieser Stelle noch einmal anmerken, dass ihr während der Installation von Ubuntu die Möglichkeit habt, euren Datenträger zu verschlüsseln, dies kann insbesondere bei Notebooks, die häufig unterwegs sind, sinnvoll sein. An einfachsten ist es, diese Entscheidung bereits bei der Installation von Ubuntu / bei der Partitionierung der Festplatte zu treffen.

Ein für mich besonderes Risiko stellen die Programme dar, die eine Schnittstelle zum Internet sind, wie zum Beispiel der Browser. Da bietet es sich doch an, gleich ein paar sicherheitsrelevante Add-Ons zu installieren. Ich nutze dafür gerne uBlock Origin, Privacy Badger und HTTPS Everywhere. Die gibt es sowohl für Firefox als auch für Chrome(ium). Für Mails benutze ich unter Ubuntu Mozilla Thunderbird, hier habe ich den Junk-Filter entsprechend eingerichtet. Dieser kann auch „trainiert“ werden, in dem man selber Spam markiert. [2] Außerdem ist es empfehlenswert, HTML für Mails zu deaktivieren, wenn man nicht darauf angewiesen ist. Das erhöht den Datenschutz und die Sicherheit. [3]

Firewall einrichten

Euer Rechner befindet sich höchstwahrscheinlich hinter einem Router, der eingehende Verbindungen nicht ohne weiteres an euren PC durchlässt. Ihr habt also schon eine einfache Hardware-Firewall. [4] Welche Programme wie mit dem Internet kommunizieren dürfen und welche Ausnahmen gelten, lässt sich noch besser mit einer Software-Firewall regeln. Die kann außerdem von Vorteil sein, wenn man mal in einem fremden Netzwerk (wie einem öffentlichen Hotspot) unterwegs ist.

Unter Ubuntu 20.04 ist bereits die Software-Firewall ufw (uncomplicated firewall) vorinstalliert, aber standardmäßig nicht aktiv. Diese könnt ihr mit wenigen Schritten starten und einrichten.

sudo ufw enable (oder ... disable, um wieder auszuschalten!)
sudo ufw default deny incoming
sudo ufw default allow outgoing

Damit startet ihr ufw und die Vorgabe für unbekannte Verbindungen soll sein, diese nach außen (ins Internet) zuzulassen, aber eingehende Verbindungen erst einmal zu blockieren. Ufw startet damit auch automatisch beim nächsten Systemstart. Danach könnt ihr den Status der Firewall mit

sudo ufw status

überprüfen, bereits angelegte Ausnahmen (z.B. für P2P oder ssh) werden hier angezeigt. Wenn man keine besonderen Anforderungen hat, war’s das eigentlich schon. Ufw lässt sich über das Terminal umfangreich konfigurieren. Wie das geht und wie ihr anwendungs- oder portspezifische Ausnahmen hinzufügt, lest ihr hier bei heise.

Etwas praktischer und – naja – hübscher ist die grafische Frontend gufw für ufw. Damit lassen sich der Status und die Regeln wesentlich komfortabler verwalten. Der Funktionsumfang entspricht ungefähr dem, wie man es von der Windows-Firewall kennt.

Insofern ufw bereits installiert ist, holt ihr euch gufw einfach dazu

sudo apt install gufw

Virenscanner einrichten

Wenn man sich mit dem Thema auseinandersetzt, liest man früher oder später, das „Computerviren“ unter Linux keine große Rolle spielen. Das liegt unter anderem an der geringen Verbreitung [auf dem Desktop], aber bestimmt auch an der strengeren Benutzerrechte-Architektur. [1] Wahrscheinlich ist es eher meiner jahrelangen Windows-Nutzung geschuldet (Luke Filewalker hat mich damals unter Windows ME vor dem ein oder anderen Schädlich bewahrt), aber auch unter Linux wollte ich gerne einen Virenschutz parat haben, mit dem ich zumindest on demand die wichtigsten Daten (Home-Verzeichnis, Downloads etc.) scannen kann. Das populärste Beispiel dafür ist das quelloffene ClamAV. Vielleicht habt ihr schon einmal davon gehört, auch unter Windows ist der Virenscanner zu haben, wie ich 2014 schon einmal berichtete.

ClamAV lässt sich recht einfach installieren

sudo apt-get install clamav clamav-freshclam

und auch umfangreich konfigurieren, was beispielsweise das Updateverhalten, die Aktion bei Erkennung und das Logging angeht. Darauf möchte ich aber in diesem Beitrag nicht eingehen. Das könnt ihr z.B. hier nachlesen. Scans auf eine Datei oder ein Verzeichnis können im Terminal mit dem Befehl clamscan ausgeführt werden. Auch eine grafische Benutzeroberfläche gibt es (clamtk), die man sich dazuinstallieren kann, aber ich konnte damit nicht viel anfangen.

inoffizielle Signaturen

Ich möchte euch an dieser Stelle gerne noch etwas anderes zeigen: ClamAV kann um „inoffizielle“ Malware-Signaturen ergänzt werden, um die Erkennungsrate zu verbessern. Hier am Beispiel der SaneSecurity Signatures. [5] Das erhöht zwar potentiell die Chance für Falschmeldungen (false positives), das war bei mir aber bisher nur unter Windows der Fall.

Die Einrichtung dieser Signaturen besteht aus mehreren Installationsschritten, die ich hier aufgrund des Beitragsumfangs nicht einzeln durchgehen werden, aber auf der offiziellen github Seite ist eine ausführliche Schritt-für-Schritt Installationsanleitung für Ubuntu (auch für andere Distributionen).

Skript für manuelle Überprüfung

In meinem Anwendungsszenario, also einer Dual-Boot Installation mit Ubuntu als Produktivsystem und Windows 10 als Backup, wollte ich in unregelmäßigen Abständen Dateien überprüfen, die ich mit Windows-Rechnern gemeinsam bearbeite oder versende. Es ist bei mir also nicht notwendig, dass sich die Virensignaturen mehrmals am Tag selbstständig aktualisieren, das erhöht nur unnötig die Serverlast des Anbieters und verursacht Betriebskosten.

Um das Aktualisierungsintervall der Signaturen zu ändern, könnte ich die Konfigurationsdatei unter

/etc/clamav/freshclam.conf

anpassen (z.B. mit nano im Terminal!). Ich habe mich aber einfach dazu entschieden, den Dienst freshclam nicht beim Systemstart zu laden, weil er sowieso bei einem manuellen Aufruf zuerst beendet werden müsste. [6]

sudo update-rc.d clamav-freshclam disable

Die SaneSecurity Signaturen werden nicht automisch aktualisiert, sondern nur über den Aufruf des gerade installierten Skripts clamav-unofficial-sigs.sh.

Dann habe ich mir folgendes bash-Skript zusammenbastelt, das ich bei Bedarf ausführe. Ich möchte es hier mit euch teilen! 🙂 Es aktualisiert zunächst manuell und „still“ die Virendatenbank, führt dann einen Scan des Benutzerverzeichnisses durch und gibt ggf. Funde aus (es wird nichts unternommen!). Ihr könnt es euch als *.sh Skript speichern. Nach dem Anpassen eurer Dateipfade müsst ihr die Datei dann noch mit chmod als ausführbar markieren und ihr könnt die Datei wie eine Anwendung per Mausklick starten. Allerdings als root, da sonst das Aktualisieren der Signaturen nicht funktioniert.

#!/bin/bash
echo "Cedric's ClamAV Scanner-Skript 1.0"
if (( $EUID != 0 )); then
    echo "Bitte mit erhöhten Rechten starten!"
    exit
fi
echo -n "Aktualisiere ofizielle Signaturen... "
#sudo killall freshclam
freshclam --quiet --no-warnings
echo "OK"
echo -n "Aktualisiere inoffizielle SaneSec Signaturen... "
/usr/local/sbin/clamav-unofficial-sigs.sh -s
echo "OK"
#echo "EINGABE, um Scan zu starten"
#read
echo -n "Startzeit: "; date +"%T"
echo "Überprüfe /home ... "
clamscan --infected --recursive ~

Konto gehackt? Passwort ändern!

Am 06. Mai war Welt-Passwort-Tag. Habt ihr das gewusst? Ich jedenfalls nicht. Aber ich wollte es trotzdem Mal aufgreifen, denn ich habe mir in den letzten Wochen Gedanken zu diesem Thema gemacht und möchte an dieser Stelle etwas über meine persönlichen Erfahrungen zur Konto- und Passwortsicherheit berichten.

Aber was meine ich überhaupt mit „gehackt“ werden? Schaut man im Wörterbuch nach, so bedeutet der Begriff „gehackt werden“

„durch geschicktes Ausprobieren und Anwenden verschiedener Computerprogramme mithilfe eines Rechners unberechtigt in andere Computersysteme eindringen “ (Quelle: Duden.de)

Dabei denkt man natürlich erst einmal an einen Virus auf dem eigenen Rechner (oder an die verdächtige E-Mail mit dem Anhang), was ja auch grundsätzlich ein mögliches Szenario ist. Ich behaupte aber an dieser Stelle einfach mal, dass man in den meisten Fällen nicht einmal etwas für einen Passwort-Hack kann. Denn auch die Server von Online-Dienstleistern, sei es das kleine Hobby-Forum oder ein großer Online-Händler eurer Wahl, sind regelmäßig von solchen Angriffen betroffen. Und dabei werden nicht selten Nutzerdaten abgegriffen, die sich kurze Zeit später im Internet wiederfinden. Wie gut eure Daten dort geschützt sind, liegt in der Hand des Betreibers. Ausschlaggebend ist, in welchem Ausmaß die eigenen Dateien und Anmeldedaten betroffen sind.

Beispiele dafür finden sich genug. Im Jahr 2012 etwa wurde der beliebte Cloudspeicher-Anbieter Dropbox gehackt, wobei Millionen Benutzerpasswörter im Internet auftauchten. Auch Social-Media-Plattformen wie Facebook, sind immer wieder von solchen Angriffen betroffen. Ein besonders populäres Beispiel ist sicher auch der Datenklau im Deutschen Bundestag 2019, der große Wellen geschlagen hat.

Neben der Wahl eines sicheren Passwortes haben sich in den letzten Jahren meiner Meinung nach für Internet-Nutzer zwei weitere wichtige Sicherheitsfunktionen etabliert, welche man sich unbedingt zu Nutze machen sollte: Die 2-Faktor-Authentifizierung und die automatische Überprüfung der Kontointegrität. Auf diese drei Punkte möchte ich im Folgenden nun eingehen.

Sichere, unterschiedliche Passwörter wählen

Wusstet ihr, dass an die Öffentlichkeit geratene Datenlecks bis zu 4% aus dem Passwort „123456“ bestehen? [1] Dass triviale Passwörter wie „1234abc“ oder „passwort“ nicht sicher sind, sollte eigentlich als selbstverständlich gelten. Andererseits empfinde ich es aber auch als eine Zumutung, eine Passwort wählen zu müssen, was z.B. 20 Zeichen lang ist, aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht und natürlich nicht den 10 letzten Passwörter ähnelt.

Klar kann ich jedes Passwort zufallsgenerieren und in meinem Browser speichern, aber was nützt mir das, wenn es mir unterwegs auf einem anderen Rechner nicht einfällt? Das Internet lebt ja schließlich davon, dass man von überall darauf zugreifen kann (möchte). Hier ist es, so denke ich, das Beste ein gesundes Mittelmaß zwischen Merkbarkeit und Sicherheit zu finden. Wer gerne ein paar konkrete Empfehlungen zur Wahl eines individuellen Passworts haben möchte, findet unter anderem beim BSI Informationen dazu.

Auch sollte man nicht für alle Onlinedienste das selbe Passwort wählen, aus offensichtlichen Gründen. Bei mir persönlich haben sich, im Sinne des eben genannten Kompromisses, über die Jahre „Passwortpools“ gebildet. Dazu habe ich meine (zahlreichen) Online-Dienste in verschiedene Kategorien eingeteilt, je nach Sensibilität der gespeicherten Daten. Meine „kritischen“ Accounts, also z.B. Zahlungsdienstleister, Händler besitzen alle individuelle Passwörter. Für Konten mit mittlerer bzw. niedrigerer Priorität habe ich ein Set von verschiedenen, der Situation entsprechend sicheren Passwörtern, die ich ggf. durchrotiere. Parallel dazu führe ich eine Liste mit allen Passwörtern, so dass ich im Falle einer Kompromittierung schnell sehen kann, welche Konten noch betroffen sein könnten und die Passwörter ändern kann.

Passwörter nicht im Klartext speichern

Google Chrome verschlüsselt standardmäßig die gespeicherten Zugangsdaten mit den Informationen des eingeloggten Windows-Nutzers [3], bei Mozilla Firefox kann man ein Master-Passwort setzen, um die Zugangsdaten selbst zu sperren. Auch externe Programme wie keypass (open source) gibt es für solche Zwecke, habe ich ehrlicherweise aber noch nie genutzt. Keinesfalls sollte man alle seine Passwörter in einer Textdatei ablegen. Ich bevorzuge es, meine Passwörter „analog“, also handschriftlich zu sichern. So brauche ich mir zumindest keine Gedanken über „gehackt“ werden oder einen Datenverlust machen.

2-Faktor-Authentifizierung nutzen

Bei der 2F-Authentifizierung wird beim Log-In neben dem Passwort noch eine weitere Kontrollinstanz hinzugefügt. So muss ich nach der Eingabe des Passworts den ersten Login auf einem Rechner zusätzlich noch per Authenticator-App, SMS oder E-Mail mit einem Code bestätigen. Das verbessert die Kontosicherheit erheblich, mit geringem Aufwand. Mehr Informationen dazu…

Bei meiner letzten „großen“ Passwort-Revision im Mai (als ich diesen Beitrag begonnen habe…), konnte ich bei fast der Hälfte meiner Online-Dienste eine 2F-Überprüfung aktivieren. Also, gleich umstellen! Außerdem sollte man die Backup-Codes gut aufheben (am Besten nicht auf dem PC), damit man 2F-Authentifizierung im Falle eines Verlusts (des benötigten Tokens) wieder zurücksetzen kann.

Kontointegrität prüfen

Einige Anbieter (darunter Google) ermöglichen es einem zu prüfen, wann und vor allem von wo der letzte Login stattgefunden hat und benachrichtigen einen z.T. automatisch, wenn dort verdächtige Aktivitäten erkannt werden (bei mir wurde mal vor einem Login-Versuch aus China gewarnt).

Außerdem gibt es seit längerer Zeit verschiedene Online-Anbieter, die an die Öffentlichkeit geratene, gestohlene Datensätze analysieren und einen kostenlos darüber informieren, wenn eigene Daten wie die E-Mail Adresse oder die Telefonnummer darunter sind. Das kann man einfach und unkompliziert z.B. bei haveibeenpwned oder avast prüfen.

Bei Google Chrome findet dies seit längerem automatisch und unbemerkt statt (Einstellung „Warnen, wenn Passwörter durch eine Datenpanne preisgegeben werden“). Auch bei Mozilla Firefox gibt es dieses Feature inzwischen. [2]

Auch interessant: Was tun, wenn die eigenen Daten Teil eines großen Leaks sind? (Spiegel Online, 2019)

Wie handhabt ihr eure Passwörter? Schreibt mir doch in die Kommentare, was eure Strategie bei der Passwortwahl ist!

Supportende: Windows 7 richtig absichern

Es ist soweit, am 14. Januar 2020 endet der offizielle Support für Windows 7 [1]. Das Betriebssystem ist 2009 erschienen. Vor 10 Jahren! Was ist 2009 passiert? In diesem Beitrag möchte ich Möglichkeiten aufzeigen, wie man einige Sicherheitsrisiken in Windows 7 minimiert, wenn man das bewährte Betriebssystem noch einige Zeit weiter nutzen möchte.

Ein Abschied auf Raten

Das ist zwar bereits in wenigen Tagen, aktuell besitzt Windows 7 allerdings noch einen weltweiten Marktanteil von 27% (Stand: Dezember 2019) [2]. Es sieht also eher nicht danach aus, als ob mit dem Ende der Updates gleich jeder auf die aktuelle Generation 10 umsteigen wird. Auf der anderen Seite bedeutet das meiner Meinung nach* aber auch nicht sofort, dass Windows 7 gefährlich ist und nicht mehr benutzt werden darf. Mit einigen Tricks lässt sich der Umstieg noch etwas hinauszögern!

*Die aktuellen Windows-Installationen im Vergleich. Gelb ist Windows 7, das System wird noch aktiv genutzt. Quelle: gs.statcounter.com*

Was also tun?

Wegducken und hoffen, dass es einen nicht erwischt? Keine Gute Idee. Oberstes Gebot sollte das Schließen von Sicherheitslücken sowie das Abschalten von Schwachstellen im Betriebssystem sein. Denn das sind die Haupt-Einfallstore von Malware, Spyware und alles was man sonst nicht haben möchte. Fünf Schritte für mehr Sicherheit!

1. Alle Windows Updates installieren

Ja, bei Windows 7 hat man tatsächlich noch die Freiheit! Stellt auf jeden Fall sicher, dass ihr alle Windows-Updates bis dato erwischt habt. Windows Update findet ihr unter Systemsteuerung / System und Sicherheit.

Ist euch das einzelne Installieren von Updates zu lästig, ihr habt eine langsame oder keine Internetanbindung oder habt Windows 7 frisch installiert, bieten sich sich die kostenlosen, gebündelten Update-Packs von winfuture.de an. Sie lassen sich auch prima auf einen Datenträger brennen und zusammen mit der Setup-DVD des Betriebssystems aufbewahren.

2. Anwendungen prüfen und aktualisieren

Das zweite Einfallstor für Malware neben Sicherheitslücken in Windows bildet veraltete und unsichere Software. Alle Installierten Programme findet ihr unter Systemsteuerung / Programme. Macht euch Gedanken darüber, welche Software ihr tatsächlich benutzt. Sicher sind einige Programme dabei, die vor Ewigkeiten mal installiert und dann nie wieder aufgerufen wurden. Dann solltet ihr im Internet prüfen, ob die installierte Programmversion aktuell ist. Meist wird die Version in der Liste der Software oder aber im Programm direkt angezeigt (vielleicht auch im Über das Programm/Hilfe-Bereich).

Ist euch das zu lästig, kann ich euch das Programm Sumo (5 Mb) empfehlen. Ein kostenloses Tool, welches für alle auf dem PC gefundenen Programme prüft, ob die Version aktuell ist. Die automatische Update-Funktion gibt’s zwar nur in der Pro-Version, das Prüfen der Programmversion reicht aber für unsere Zwecke vollkommen aus.

3. Sicherheitsrisiken abschalten

Anstatt mit dem Registry-Editor einzelne Lösungen zu basteln, nutzen wir das bekannte Tool XP-Antispy (funktioniert bis Windows 7). Damit lassen sich gezielt einige Windows-Funktionen und Dienste deaktivieren, die nur ein unnötiges Sicherheitsrisiko darstellen (mal angenommen, dass ihr das Feature nicht nutzt!). Das Programm als Administrator starten, Backup bestätigen und der Reihe nach folgende Optionen wählen:

Windows Media Player

Freigabe der Medienbibliothek verhindern

Diverse Einstellungen

Explorer: Remote-Desktop-Unterstützung ausschalten
Scripting-Host deaktivieren
Kein AutoPlay für Datenträger
Keine LAN Manager Hashes generieren

Internet Explorer

Integrierte Windows-Authentifizierung deaktivieren
ActiveX Steuerelemente deaktivieren
Integrierten Popupblocker einschalten
Phisingfilter aktivieren
Auf gesperrte Serverzertifikate prüfen
Auf gesperrte Zertifikate von Herausgebern prüfen
HTTPS Webseiten nicht zwischenspeichern

Dienste

Dienst für Fehlerberichterstattung deaktivieren
Universal Plug and Play (UPNP) Service deaktivieren
ctfmon.exe deaktivieren

hosts Datei als schreibgeschützt sperren

Über die hosts Datei löst Windows IP-Adressen in Hostnamen auf. Es ist theoretisch möglich, über eine Manipulation dieser Datei den nichts ahnenden Nutzer auf eine gefälschte oder andere Webseite umzuleiten. Deshalb sollte diese Datei am besten schreibgeschützt sein. Sie findet sich im Windows-Verzeichnis unter

C:\Windows\System32\drivers\etc

Rechtsklick auf die Datei, als schreibgeschützt markieren. Beim Klick auf <Übernehmen> Die Administratoraufforderung bestätigen.

Data Execution Prevention (DEP) maximieren

Die DEP ist ein Sicherheitsmechanismus, welcher bereits seit Windows XP ins System integriert ist. Er soll das Ausführen von schädlichem Code im Speicher verhindern. Mehr Details dazu erfahrt ihr in diesem Artikel von ipswitch (Englisch): Understanding Data Execution Prevention in Windows

Die „Datenausführungsverhinderung“ ist die kleine Schwester des Donauschifffahrtkapitäns

Standardmäßig ist diese Funktion nur für einige Programme aktiviert, mit wenigen Klicks lässt sich DEP für alle Anwendungen einschalten und so die Sicherheit erhöhen. Die Einstellung ist zu finden unter

Systemsteuerung -> System -> Erweitert -> Leistungsoptionen -> Datenausführungsverhinderung

hier kann DEP für alle Anwendungen aktiviert werden. Sollte es dadurch zu (eher seltenen) Anwendungsfehlern kommen, können dort auch Ausnahmen definiert werden.

Microsoft Enhanced Mitigation Experience Toolkit (EMET) installieren

EMET ist ein Sicherheitsprogramm von Microsoft, welches einen zusätzlichen Schutz vor Exploits einführt. Es „härtet“ Programme ab, indem es bekannte Sicherheitslücken schützt.** Das Programm wird installiert und einmalig für eine Auswahl von Programmen eingerichtet, danach läuft es unauffällig im Hintergrund. In der Regel ist davon nichts zu merken, in seltenen Fällen kann es zu Programmfehlern kommen, ist mir aber bisher nicht vorgekommen. Download bei heise.de (Download über heise-Server wählen)

Nach der Installation im Einrichtungs-Dialog die Recommended Settings wählen. Das Aktiviert den Schutz automatisch u.a. für den Internet-Explorer, Java und Adobe Reader (Programme, welche häufig Attacken ausgesetzt sind!). Anschließend könnt ihr noch manuell Programme über das Hauptfenster hinzufügen, welche bei euch in Kontakt mit dem Internet stehen bzw. Dateien daraus öffnen. Das heißt: Andere Browser, Dokumentreader oder Mediaplayer.

4. Malwareschutz und Firefall

Hier gibt es ein paar Dinge zu beachten. Zunächst sollte euch bewusst sein, dass mit dem Ende von Windows 7 ebenfalls die Sicherheitsprogramme Microsoft Security Essentials / Defender eingestellt werden [3], ihr müsst also auf den Virenschutz eines Drittanbieters ausweichen. Egal ob Avast, Avira oder Co., Auswahl gibt es genug! Kostenloser Virenschutz 2019 im Funktionsvergleich

Wenn der Rechner hinter einem aktuellen Router steckt, ist keine zusätzliche Firewall-Software erforderlich („Hardware-Firewall“). Wollt ihr etwas mehr Kontrolle über den Internetzugriff eurer Programme, schaut euch das noch eher unbekannte Tool Malwarebytes Firewall Control an.

Die meiste Schadsoftware landet über einen kompromittierten Browser auf dem Rechner. Es ist wichtig, dass der Browser (nicht Internet Explorer!) aktuell und am Besten ein Werbeblocker wie uBlock Origin installiert ist. Die Möglichkeit der Master-Passwort-Verschlüsselung für Formulardaten sollte genutzt werden.

5. Drittanbieter-Software nutzen

Wenn Windows 7 keine Updates mehr erhält, bedeutet das nicht nur, dass das Betriebssystem ad acta gelegt wird, sondern ebenfalls die damit ausgelieferten Microsoft-Programme! Ab jetzt solltet ihr also einen Bogen um den Internet Explorer sowie den Windows Media Player machen. Hier bieten sich Alternativen wie Firefox, Chrome oder Opera und der bekannte VLC Media Player an.

Die Unterstützung für Microsoft Office 2010 wird im Oktober 2020 eingestellt. [4]

Außerdem solltet ihr besonders anfällige Software, wie zum Beispiel das Java Browser Plugin sowie den Adobe Reader und Flash Player (wird ebenfalls 2020 eingestellt! [5]), sicherheitshalber nicht installieren. Die meisten Websites haben inzwischen schon auf HTML5 umgestellt, so dass der Flash Player nicht mehr benötigt wird und Firefox unterstützt nativ die Anzeige von PDF-Dokumenten, ansonsten gibt es noch kostenfreie Alternativen, wie SumatraPDF oder NitroPDF Reader.

Ihr seit noch unsicher, ob ihr auf Windows 10 aktualisieren wollt? In den kommenden Wochen werde ich noch Beiträge Zum Thema Update und Linux als Alternative veröffentlichen!

Info: Einige Screenshots stammen aus meinem Windows 10 System, da ich nicht zu jedem Zeitpunkt Windows 7 zur Verfügung hatte.

*Für die Sicherheit seiner Daten ist jeder selbst verantwortlich! Backup machen nicht vergessen!

**Der Support für EMET wurde 2018 eingestellt und unter Windows 10 wird es nicht mehr benötigt, für Windows 7 ist es aber geeignet!

Windows 10: Blockierten Download trotzdem ausführen

Gerade habe ich mir eine Software aus dem Internet geladen, aber die Windows Sicherheit (ehemals Defender SmartScreen) kennt die Datei nicht und blockiert mir die Ausführung. An für sich ist das ja kein Problem, den Download-Hinweis kennt man schon seit Windows Vista, aber im aktuellen Windows-Fenster ist die Möglichkeit, der Meinung des Betriebssystems zu widersprechen, besonders schlau versteckt.

Ja, ich bin mir sicher.

Der Schutz des unwissenden Nutzers mag zwar gut gemeint sein, aber die Art, wie der „Trotzdem ausführen“ Button versteckt ist, erweckt in mir das Gefühl, von Microsoft nicht für voll genommen zu werden. Klickt man auf „Weitere Informationen“, taucht der Button mit einem zusätzlichen Hinweis schließlich auf. Aber spätestens seit der Adclick-Ära hüte ich mich doppelt auf Links zu klicken, die mir nicht zielführend erscheinen. Die Art und Weise, wie dieses Menü konstruiert wurde, erscheint so schon fast vorsätzlich und der Nutzer, der weiß was er tut, fühlt sich unter Umständen vor den Kopf gestoßen. Wie deaktiviert man diese Meldung also?

Überprüfung deaktivieren

Die einfachste und schnellste Möglichkeit besteht darin, die automatische Windows Smartscreen-Überprüfung für Apps und Dateien zu deaktivieren. Dazu öffnet man die Einstellungen-App und navigiert zu Update & Sicherheit / Windows-Sicherheit / Schutzbereiche: App- & Browsersteuerung. Im sich darauf öffnenden Fenster kann nun unter Apps & Dateien überprüfen der Dienst deaktiviert werden.

Wer die zahlreichen auf dem PC installierten Programme kennt, kann das meiner Meinung nach auch getrost deaktiviert lassen.

Blockierung unterdrücken

Mit dieser Registry-Änderung wird Windows zukünftig heruntergeladene unsignierte Anwendungen nicht mehr als solche klassifizieren (und vor der Ausführung warnen).

Dazu den Registry-Editor öffnen (Win+R „regedit“) und zu folgendem Pfad navigieren:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

Wenn der Schlüssel wie im obigen Pfad beschrieben noch nicht existiert, müsst ihr ihn zunächst erstellen. Dann fügt ihr einen neuen DWORD 32-Bit Wert „SaveZoneInformation“ mit dem Wert 1 hinzu. Anschließend muss Windows neu gestartet werden.

Meldung „Unbekannter Herausgeber“ deaktivieren

Ist die Anwendung nicht digital signiert bzw. kein Publisher in den Dateiinformationen hinterlegt, wird vor der Ausführung darauf hingewiesen. Wird wie in Schritt eins die Überprüfung von Apps durch den Smartscreen deaktiviert, wird zwar ersterer Hinweis nicht mehr eingeblendet, aber dafür erscheint ein anderer Hinweis, den wir schon aus Windows 7 kennen:

Das ist oft bei kleinen, selbst kompilierten Programmen oder „Mods“ der Fall. Diese Meldung lässt sich ebenfalls deaktivieren.

Dazu öffnen wir wieder den Registry-Editor (s. oben) und begeben uns zu folgendem Pfad:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

Dort wird ein neuer String-Wert (Zeichenfolge) erstellt mit den Namen „LowRiskFileTypes“, dieser enthält folgenden Wert (als sicher zu klassifizierende Dateiendungen):

.zip;.rar;.nfo;.txt;.exe;.bat;.vbs;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav

Wenn der Eintrag bereits existiert, könnt ihr einfach die Liste hier übernehmen, oder lediglich die Dateiendung hinzufügen, welche in Zukunft als „kein Risiko“ klassifiziert werden soll. Anschließend muss Windows neu gestartet werden.

Die Einstellungen wurden unter Windows 10 Pro 1903 getestet. Grundsätzlich solltet ihr natürlich heruntergeladene Dateien immer mit einem Virenscanner auf Malware prüfen und nur ausführen, wenn ihr wisst, was sie tut.

Kostenloser Virenschutz 2019 im Funktionsvergleich

…ein guter Virenschutz gehört auf jeden Rechner. Besonders, wenn auf dem Computer sensible Daten gespeichert sind. Wer möchte denn schon seine Passwörter oder Kreditkartennummer im Netz finden? Oder erpresserisch verschlüsselt?

Es gibt heute eine breite Auswahl an kostenlosen Antimalwareprodukten von namenhaften Herstellern, aber für welches entscheide ich mich? Das ist mitunter nämlich gar nicht so leicht, denn während die meisten Produkte bei den Erkennungsraten gut bis sehr gut abschneiden [1], sind Unterschiede im Funktionsumfang, Stärken und Schwächen der Software oft erst auf den zweiten Blick zu erkennen und spielen in konventionellen Software-Tests eher eine untergeordnete Rolle. Aber gerade diese Unterschiede sind am Ende oft entscheidend.

Um euch einen Ausblick auf die derzeit verfügbaren Softwareangebote zu geben, habe ich 11 der gängigsten Antivirenprodukte getestet. Ich habe neben Screenshots meinen Eindruck von der Installation, der Bedienung und den Anpassungsoptionen festgehalten sowie alle Programme nach für mich relevanten Eigenschaften verglichen, weitere Details finden sich am Ende des Beitrags und die Tabelle gibt es hier: keepmydesktop_Virenscanner_2019_Vergleich.pdf

Im meinem Vergleich berücksichtige ich nicht die allgemeine Erkennungsleistung von Viren, die Anzahl der Falsch-Positiven Ergebnisse usw. Diese können zum Beispiel bei av-comparatives.org oder AV-TEST eingesehen werden. Hier gibt es eine Übersicht über gängige Arten von Schadsoftware („Malware“).

Microsoft Security Essentials (Windows 7) / Windows Defender (Windows 8 ) / Windows Sicherheit (Windows 10)

Seit 2008 und Windows XP gibt es bereits die Microsoft Security Essentials als eigenständigen Virenscanner, seit Windows Vista sind sie als Windows Defender fest ins System integriert und seit dem letzten Windows 10 Update 1809 wurden alle Malwareschutz-Funktionen einfach unter dem Begriff „Windows Sicherheit“ zusammengefasst. Diese bieten einen soliden Grundschutz, der allerdings zwischen den verschiedenen Betriebssystemen Unterschiede aufweist: Während sich alle Programmteile die gleiche Definitionsdatenbank teilen, sind die erweiterte Erkennung von PUPs, Adware und der Dateizugriffsschutz vor Ransomware erst ab Windows 10 verfügbar [2]. In Kürze soll sogar ein Sandbox-Modus hinzukommen. [2.1] Die Produktlinie besticht durch den schlichten und pragmatisch orientierten Schwerpunkt und die nahtlose Integration ins System. Die Updates erfolgen mit Windows Update und erfordern eine gültige Produktlizenz. Während es der Virenscanner in den Tests der frühen Jahre schwer hatte, schneidet er bei der Erkennungsrate inzwischen ganz ordentlich ab.

Avira Free Antivirus

Das einzige deutsche AV-Programm ist gleichzeitig auch eins der ersten, welches seit 1998 als Luke Filewalker auf PCs zu finden ist [3] und auch heute noch eins der besten kostenlosen Angebote auf dem Markt in punkto Erkennungsrate. In der reduzierten kostenlosen Version, welche es als reines Antivirus oder als Internet Security Suite mit weiteren Funktionen gibt, sind die wesentlichen Schutzfunktionen erhalten. Schutz beim Surfen lässt sich durch die zusätzliche Installation der Avira SafeSearch Toolbar erreichen. Während die Antivirus-Version auf die wesentlichen Aufgaben reduziert ist, wirkt die kostenlose Internet Security Suite etwas überladen und belegt auch relativ viel Arbeitsspeicher in meinem Test-System. Die aktuelle Benutzeroberfläche kommt in einem bunten, unübersichtlichen Spielzeugdesign daher, dass träge reagiert und für mich etwas abstoßend wirkt. Zum Glück lässt sich momentan noch über einen Umweg die alte, wesentlich übersichtlichere Oberfläche aufrufen [4]. Avira gibt an, dass ihr Produkt DSGVO-Konform ist, also gut für den Datenschutz. Hier findet sich ein vollständiger Vergleich zwischen der kostenlosen und der Pro Version.

Avast Free Antivirus

Die kostenlose AV-Lösung von AVAST! zählt seit langem zu den beliebtesten Schutzprogrammen im Internet [6] und besticht durch gute Erkennungsraten. Die moderne Benutzeroberfläche wirkt aufgeräumt und reagiert schnell. Neben den wesentlichen Funktionen kann man in der kostenlosen Version auch nach Tracking-Cookies und veralteter Software scannen (dem häufigsten Einfalltor für Viren). Auch eine Prüfung des Netzwerks auf Schwachstellen ist möglich. Einzelne Programmmodule können bereits bei der Installation deaktiviert werden. Eine zwingende Registrierung wie in früheren Jahren scheint nicht mehr erforderlich zu sein. Insgesamt wird wenig RAM benötigt. Hier findet sich ein vollständiger Vergleich zwischen der kostenlosen und der Pro Version.

AVG AntiVirus Free

Die Schutzlösung von AVG wurde im Oktober 2016 von AVAST übernommen [7] und scheint inzwischen im Funktionsangebot und Aussehen weitgehend identisch mit ebendieser. Es lässt sich ebenfalls wie AVAST ausreichend konfigurieren. 2012 hat AVG übrigens die bekannten TuneUp Utilities erworben und bietet diese als AVG TuneUp kostenpflichtig an. [8] Hier findet sich ein vollständiger Vergleich zwischen der kostenlosen und der Pro Version.

Panda Free Antivirus

Panda hat 2009 mit Cloud Antivirus [9] als einer der ersten einen kostenlosen, rein auf Cloud-Technik basierenden Virenscanner veröffentlicht. Dadurch müssen nicht regelmäßig Definitionsdatenbanken aktualisiert werden, es ist aber eine durchgehende Verbindung zum Internet erforderlich. Auch heute besticht das Programm noch durch seine simpel gehaltene und ressourcensparende Konzeption. Die Panoramabild-Oberfläche wirkt etwas gewöhnungsbedürftig, ist aber gut umgesetzt. Zusätzlich zum Grundschutz gibt es noch einen Prozessmonitor sowie einen Schutz für USB-Datenträger. Das Grundverhalten lässt sich konfigurieren, sonst gibt es bei der Anpassung leider aber nicht zu viele Optionen. Hier findet sich ein vollständiger Vergleich zwischen der kostenlosen und der Pro Version.

Bitdefender Free Antivirus

Die Software ist ein Geheimtipp für Benutzer, die eine unauffällige, weitgehend autonom arbeitende Antivirenlösung bevorzugen. Die abgespeckte kostenlose Version von Bitdefender nutzt den gleichen „Programmkern“ wie die Vollversion, ist aber sehr minimalistisch gehalten: Sämtliche Programmfunktionen werden über das Tray-Popup geregelt. Die Software benötigt sehr wenig RAM und ist schon passend eingestellt, allerdings lässt sich das Programmverhalten wie die Reaktion bei einem Fund oder das Updateintervall auch weitgehend nicht konfigurieren. Benutzerdefinierte Scans aus dem Hauptmenü sind ebenfalls nicht möglich, dafür ist ein URL-Schutz dabei. Es ist eine Registrierung erforderlich, um Bitdefender Free nutzen zu können. Hier gibt es weitere Informationen.

Kaspersky Free Antivirus

Erst seit 2017 gibt es eine kostenlose Version von Kaspersky, einem der populärsten kommerziellen Antivirenlösungen [10]. Diese Version ist auf den Grundschutz reduziert, aber für Privatanwender vollkommen ausreichend. Zusatzfeatures wie Online-Banking-Schutz, VPN und Kindersicherung gibt es nur in der kostenpflichtigen Ausgabe. Das Schutzverhalten ist nur eingeschränkt konfigurierbar, dafür gibt es einen URL-Schutz. Die Programmoberfläche ist ähnlich der Vollversion professionell und übersichtlich gehalten. In der Vergangenheit gab es Kritik an Kaspersky wegen dem Umgang mit Datenschutz und der Zusammenarbeit mit Regierungen. [11] Hier gibt es weitere Informationen zur Software.

Comodo Free Antivirus / Internet Security

Die Comodo Group ist ein großer US-Amerikanischer Softwareanbieter, der auch SSL-Zertifikate zur Verfügung stellt. [12] Auf der Webseite finden sich sehr viele lobende Worte über das eigene Produkt, man muss allerdings auch sagen, dass Comodo Free AV von den hier verglichenen Programmen mengenmäßig die meisten Schutzfunktionen an Bord hat. Neben einer erweiterten Verhaltenserkennung gibt es auch Zusatzfunktionen wie eine Software-Sandbox, einen „Sicherheitsbrowser“ basierend auf Chromium sowie ein Desktop-Widget zur Schnellsteuerung. Der Nachteil ist allerdings, dass die Software für die Idee eines „Basisschutzes“ etwas überladen wirkt und mit der großen Anzahl an konfigurierbaren Elementen so manchen Nutzer zurecht abschrecken mag. Die deutsche Lokalisierung ist „by Community“. Hier findet sich ein vollständiger Vergleich zwischen der kostenlosen und der Pro Version.

Adaware Antivirus Free

Adaware ist eine hierzulande weniger bekannte Sicherheitslösung des kanadischen Herstellers Lavasoft. Während die Software früher primär gegen Spyware gerichtet war, ist heute ein Grundschutz gegen jegliche Art von Schadsoftware enthalten. Dazu arbeitet Lavasoft auch mit Avira zusammen. [13] Über die zentrale Programmoberfläche lassen sich alle Funktionen verwalten, Web- und Emailschutz gibt es nur in der kostenpflichtigen Version. Praktisch ist, dass sich die Software bei der Installation auch als „Zweitlösung“ ohne aktiven Echtzeitschutz installieren lässt. Hier gibts weitere Informationen.

Immunet with ClamAV

Immunet ist schon einige Jahre auf dem Markt und hat seitdem einiges durchgemacht. Das Startup wurde 2011 von Sourcefire übernommen [14], also den Entwicklern vom Open-Source-Virenschutz ClamAV, welches inzwischen zu Cisco Systems (USA) gehört. Die Grundidee ist – ähnlich wie bei Panda Cloud Antivirus – eine „leichte“ Schutzlösung für Privatanwender primär durch Cloudtechnik, es ist also eine Internetverbindung erforderlich. Dafür benötigt die Software sehr wenig RAM. Gleichzeitig enthält Immunet noch die ClamAV-Engine, welche auch das herunterladen von Viren-Definitionsdatenbanken und damit einen „Offlineschutz“ ermöglicht. Die Software gibt es inzwischen nur noch in einer kostenlosen Version, sie scheint sich allerdings über die Jahre eher wenig weiterentwickelt zu haben. Während die Erkennungsrate dank Cloudtechnik und ClamAV wohl recht gut sein soll, soll es wohl gelegentlich bei der Bereinigung von infizierten Rechnern hapern. Dafür wirbt aber Immunet damit, dass es – im Gegensatz zur gängigen Regel – mit anderen Virenschutzprodukten gleichzeitig laufen kann, was ein großer Pluspunkt ist. Außerdem ist die Software werbefrei gehalten und vielseitig konfigurierbar. So lässt sich z.B. bei dem Einsatz der Software als Zweitlösung die ClamAV-Engine deaktivieren, um lediglich vom Cloudschutz zu profitieren und den Ressourcenverbrauch zu minimieren. Weitere Details hier.

Die Software im Funktionsvergleich

Die komplette Tabelle als PDF gibt es hier zum Download: keepmydesktop_Virenscanner_2019_Vergleich.pdf

Welche Eigenschaften habe ich verglichen?

Alle Programme im Vergleich bieten einen Grundschutz gegen Viren, Trojaner, Würmer („Malware“).

Heuristische Methoden zur Erkennung von Malware abseits der bekannten Signaturen aus der Datenbank sind ein wichtiger Faktor bei der Prävention von unbekannten Infektionen.

Eine Verknüpfung mit der Internet-Cloud des Herstellers ermöglicht außerdem das schnelle und simultane Lernen und Sammeln von neuen Bedrohungen in Echtzeit unabhängig von den bekannten Definitionen.

Rootkits sind eine besonders hartnäckige Form von Malware, die sich im Rechner vor Antivirenprogrammen verstecken können und schwer zu entfernen sind. Nicht alle Programme bieten volle Unterstützung für die Entfernung in der kostenlosen Version.

Spyware konzentriert sich auf das ausspionieren und abgreifen von sensiblen Nutzungsdaten, wie Passwörtern oder Bankdaten zum Beispiel in Form von Keyloggern.

Ransomware ist in den letzten Jahren besonders bekannt geworden durch großflächige Infektionen von z.B. WannaCry und Petya. Der sogenannte Erpressungs- oder Kryptotrojaner versperrt den Zugang zu den persönlichen Dateien und verlangt anschließend ein Lösegeld zur Entsperrung. Die Entfernung war lange Zeit schwierig. Nicht alle Programme bieten in der kostenlosen Version einen vollständigen Schutz: Das Entfernen beherrschen inzwischen fast alle Programme, um das Verschlüsseln der persönlichen Dateien aber zu verhindern ist ein Dateizugriffsschutz von Nöten.

PUP („Potentially Unwanted Programs“) und Adware sind kleine Programme, die oft unbemerkt auf dem Computer landen und nicht wirklich nützlich sind. Stattdessen blenden sie Werbung ein oder lenken Suchanfragen um. Ein klassisches Beispiel sind Toolbars.

Zusatzfunktionen

Als Browserschutz fasse ich verschiedene Methoden zusammen, wie verhindert werden soll, dass Schadsoftware durchs Surfen auf dem Rechner landet. Das kann zum Beispiel eine netzwerkseitige URL-Blockierung, ein Browser-Plugin oder eine Sandbox-Funktion sein. Darunter zähle ich auch den „Online-Banking-Schutz“, da solche Transaktionen in der Regel im Browser stattfinden.

Der Emailschutz prüft E-Mails bereits vor dem Lesen, ob diese oder der Anhang einen Virus enthalten, wie es oft bei Phishing-Software der Fall ist. Wenn das E-Mail-Postfach nicht im Browser geöffnet wird, integriert sich das Antivirenprogramm normalerweise in den E-Mail-Client.

Sonstiges

Benutzerdefinierte Scans sind besonders für fortgeschrittene Nutzer interessant. Sie ermöglichen das gezielte Überprüfen von Verzeichnissen oder Dateitypen. Wird von manchen Produkten in der kostenlosen Version nicht zugelassen.

Produktregistrierung – Einige Programme setzen eine kostenlose Registrierung mit der Mail-Adresse beim Hersteller voraus. Nicht jeder möchte das.

Eingeblendete Werbung kann auch ziemlich störend sein. Dabei mache ich im Vergleich keinen Unterschied zwischen produkteigener- oder Fremdwerbung, sondern ob die Werbung aufdringlich und störend ist.

RAM-Belastung Gerade ältere Computersysteme mit wenig Arbeitsspeicher (<4Gb) können durch eine mächtig ausgestattete Internet Security Suite ziemlich ausgebremst werden. Grund dafür sind die Vielzahl an Prozessen, welche im Hintergrund laufen und zudem Arbeitsspeicher belegen. Da ist es schon im voraus nett zu wissen, wie viel das so ist. Durchschnittliche Beobachtung auf einem frisch installierten Testsystem.

Modulare Zusammensetzung: Einige kostenlose Schutzlösungen werben neben der guten Erkennungsrate mit einer Vielzahl von Zusatzfunktionen wie Browser-Addons, Systembereinigungs und -optimierungtools. Diese Dinge können nützlich sein, werden aber nicht unbedingt gebraucht oder gewollt. Besser also, wenn man die einzelnen Funktionen deaktivieren kann oder darf beim Setup bereits auswählen, welche Programmkomponente überhaupt installiert werden sollen.

Das Herkunftsland des Anbieters kann aufgrund der verschiedenen internationalen Datenschutzrichtlinien oder aus politischen Gründen für den kritischen Nutzer interessant sein.

Meine Empfehlung

In Windows 10 wurde der integrierte Malwareschutz (früher unter Windows Defender bekannt) deutlich verbessert. So sind in der Grundausstattung Zusatzfunktionen wie ein erweiterter Ransomwareschutz, Adwareerkennung, Browserschutz (in Microsoft Edge) und bald sogar ein Sandbox-Modus verfügbar. Alles Funktionen, die man sonst eher von Bezahlsoftware kennt. Wer seinen PC also lediglich für alltägliche Aufgaben nutzt, sollte damit vollkommen bedient sein. Nutzer mit einem erhöhten Sicherheitsanspruch sowie Nutzer von Windows 7 sollten sich dagegen die kostenlose Version von Avast oder AVG anschauen, die meiner Meinung nach die beste Schnittmenge zwischen Funktionsumfang, Benutzerfreundlichkeit und Systembelastung bilden. Wer einen besonderen Wert auf Datenschutz legt, ist wohl bei der bewährten Software von Avira am besten aufgehoben. Avira scheint meinem Eindruck nach am transparentesten mit dem Thema Datenschutz und DSGVO umzugehen [15], außerdem ist es die einzige Software „Made in Germany“. Für Netbooks oder auch ältere Systeme bieten sich besonders Bitdefender Free oder Panda Free an, da diese wenig Systemressourcen beanspruchen. Bitdefender arbeitet zudem weitgehend vollautomatisch und wartungsfrei, was besonders praktisch ist, wenn man nicht gestört werden möchte (zum Beispiel beim Gaming oder Streaming). Wer gerne seinen Schutz etwas „aufstocken“ aber kein ganzes Sicherheitspaket installieren möchte, sollte sich Immunet anschauen, welches zusätzlich zu einer bereits installierten Antivirenlösung laufen kann.

Ein großer Faktor für die Sicherheit eures Systems ist – neben einer guten Antivirensoftware – auch, ob euer Windows und die installierte Software aktuell und der Browser gut abgesichert ist, um Einfallstore für Malware zu schließen.

Der Beitrag spiegelt meine persönliche Meinung wieder und erhebt keinen Anspruch auf Vollständigkeit. Alle genannten Schutzmarken sind Eigentum ihrer jeweiligen Inhaber, ich stehe nicht mit diesen in Verbindung.

Firefox Quantum+: Add-Ons für Privatsphäre, Datenschutz und Sicherheit

In diesem Beitrag geht es um Add-Ons für Mozilla Firefox der Generation Quantum zum Schutz der Identität und Privatsphäre im Internet.

ffquantum2

Firefox ist immer noch einer der beliebtesten Open-Source-Browser der letzten Jahre. Zuletzt war Mozilla allerdings unter Zugzwang, da der Browser zunehmend Marktanteile verloren hat, vor allem an Google Chrome. Ein Grund dafür war auch der Rückstand in Dingen Geschwindigkeit und Browsertechnik. Mit dem groß angekündigten „Quantum-Update“ wurde der Browser im November 2017 generalüberholt und kann nun wieder mit der Konkurrenz mithalten. Für mich das größte Update seit dem Erscheinen von Firefox 3.0 im Jahre 2008: Ich kann mich noch gut daran erinnern, wie die Veröffentlichung damals gefeiert wurde, mit einer eigenen Webseite für den Countdown. War eine coole Sache. Aber inzwischen ist der Wettkampf zwischen den Browsern härter geworden. Wegen der neuen Technik gibt es ab dieser Generation keine Unterstützung mehr für Windows XP und älter – und: Die bisherigen Add-Ons im XUL/XPCOM -Format werden nicht mehr unterstützt!

Dabei sind die Add-Ons und Anpassbarkeit von Firefox seine größte Stärke.

Deswegen möchte ich nun, knapp drei Monate nach dem Erscheinen, untersuchen, welche Add-Ons aus der Kategorie Sicherheit, Datenschutz und Privatsphäre unter Firefox Quantum verfügbar sind. Die wichtigsten, also.

https://addons.mozilla.org/de/firefox/

Ich öffne das Dropdown-Menü von Firefox, und wähle „Add-Ons“. Zur offiziellen Seite von Mozilla gelangt man auf Umwegen über „Add-Ons entdecken / sehen Sie sich weitere Add-Ons an!“.

uBlock Origin

firefox_05 Das wichtigste zuerst: Der Werbeblocker. Drei essentielle Gründe hierfür:

Drittanwenderinhalte werden blockiert. Dadurch landet die eigene IP-Adresse nicht bei Werbeanbietern, gut für den Datenschutz. In der Vergangenheit gab es bereits Fälle von Missbrauch.
Mithilfe von Cookies überwachen die großen Werbeanbieter (z.B. Google Analytics) das persönliche Surfverhalten, auch über verschiedene Websites hinweg. Sie sammeln und kombinieren so Informationen und bilden ein digitales Profil, um Werbung noch besser auf den Einzelnen anzupassen. Ein Adblocker verhindert dies.
Der Seitenaufbau beschleunigt sich erheblich, die Webseite belastet den Browser weniger und Datenverkehr wird eingespart. Der Platz von blockierter Werbung auf Webseiten wird freigegeben: Dadurch sind diese übersichtlicher und man findet sich besser zurecht.

In den vergangenen Monaten hat sich diese Erweiterung als Alternative zu AdBlock Plus bewährt, nachdem dieses nach einer Reihe Negativschlagzeilen (siehe u.a. FAZ hier) in die Kritik geraten ist. uBlock ist außerdem OpenSource, belegt wesentlich weniger RAM und bremst Firefox weniger aus als ABP. Mit einem simplen Sidebar-Knopf kann die Werbung für einzelne Seiten oder Domains (de)aktiviert werden. Link zum Add-On >>

NoScript

Dieses Add-On ist ein komplexes, anpassbares Tool zum Regeln und Blockieren von Webseiten-Scripten, wie z.B. Javascript und Flash. Dadurch schützt man sich zusätzlich vor Gefahren wie Hijacking, Cross-Scripting-Attacken, Drive-by-Downloads und eben auch Tracking. Diese Erweiterung wurde von Edward Snowden empfohlen. In der Standardkonfiguration werde alle Skripte blockiert, was zunächst etwas ungewohnt und zeitaufwändig ist: Die vertrauten Seiten müssen erst auf die Ausnahmeliste gesetzt werden. Wem das zu aufwändig ist, aber trotzdem den zusätzlichen Cross-Scripting-Schutz genießen will, kann in den Einstellungen globale Skripte wieder aktivieren. Link zum Add-On >>

Decentraleyes

ergänzt den Werbeblocker und erhöht dadurch den Datenschutz zusätzlich. Blockiert die Verbindung zu vielen gängigen Werbenetzwerken, sogenannten „Context Delivery Networks“ (CDN) wie Ajax oder Yandex. Link zum Add-On >>

HTTPS everywhere

der Webseiten-Verschlüsselungsstandard „Secure Socket Layer“ ist inzwischen Standard und wird von den meisten Webseiten angeboten. Dies ist besonders wichtig, wenn sensible Daten wie Passwörter zwischen Computer und Webseite übertragen werden. Leider ist nicht bei jeder Webseite HTTPS standardmäßig aktiv (Schlosssymbol im URL-Adressfeld). Dieses Add-On erzwingt die Nutzung von HTTPS und erhöht dadurch die Sicherheit. Link zum Add-On >>

Terms of Service; Didn’t Read

„Ich habe die Lizenzvereinbarung gelesen und bin damit einverstanden“ wird zurecht als die größte Lüge des Internets bezeichnet. Dieses praktische Add-On fügt einen kleinen Button in der Adressleiste hinzu, dass für viele bekannte Webseiten die wichtigsten Informationen aus den jeweiligen Nutzungsbedingungen, EULAs, ToS usw. zusammenfasst und vor einschlägigen Angeboten warnt (auf Englisch) Link zum Add-On >>

Flagfox

Ein Klassiker unter den Erweiterungen. Zeigt eine Landesflagge in der Adressleiste an. Hilft nicht direkt bei der Browsersicherheit oder dem Datenschutz, aber es kann manchmal hilfreich sein zu wissen, in welchem Land der Server steht (Die Webseite gehostet ist). Zum Beispiel wegen der rechtlichen Bestimmungen wie dem Datenschutz. Link zum Add-On >>

firefox_04

Nach dem Installieren sämtlicher Erweiterungen wirkt die Eingabeleiste fast schon etwas zu bunt und unübersichtlich. Firefox lässt praktischerweise das individuelle Anordnen von Bedienelementen zu. Im Drop-Down-Menü kann man über den Punkt „Anpassen…“ die einzelnen Buttons verschieben oder auch ausblenden. Mit den aktiven Add-Ons startet Firefox wie gewohnt flott, der Seitenaufbau geht zügiger, Probleme mit der Darstellung von Webseiten habe ich keine erlebt.

Aus der Kategorie „Datenschutz und Sicherheit“ gibt es noch eine ganze Menge weiterer Add-Ons wie Ghostery, Adblock Plus, Privacy Badger usw. Ich halte es aber für Überflüssig, mehr als ein Add-on der gleichen Funktion zu installieren, damit der Browser nicht unnötig belastet wird. Außerdem empfehle ich unabhängig der Add-Ons folgende Einstellungen in Firefox zu setzen:

Drittanbieter-Cookies nicht besuchter Seiten werden abgelehnt
DoNotTrack-Aufforderung ist immer aktiv
Suchvorschläge nicht automatisch senden
Keine Firefox-Nutzungsberichte senden
Zur Sicherheit Passwortdatenbank mit einem Master-Passwort verschlüsseln

Die Windows-Firewall unkompliziert erweitern, verbessern und kontrollieren

In diesem Beitrag beschäftigen wir uns damit, wie man die Windows-eigene Firewall mit praktischen Funktionen erweitert und so mehr Kontrolle über die Netzwerkkommunikation erhält. Dies gelingt im Beispiel mit einem von zwei schlanken Programmen, die sich der Windows-Firewall bedienen, anstatt sie zu ersetzen.

Vereinfacht gesagt unterscheidet die Firewall über ausgehende und eingehende Verbindungen. Während die meisten Programme zu den ausgehenden Verbindungen zählen (Browser), benötigen spezielle Anwendungen wie zum Beispiel Server, Torrent-Anwendungen auch die „eingehenden Verbindungen“. Die eingehenden Verbindungen stellen eine mögliche Gefahr für die Computer-Sicherheit dar, da dadurch Schädlinge auf den Computer geladen werden und fremde Zugriffe über das Internet zugelassen werden können. Deshalb blockiert die Windows-Firewall diese Verbindungen standardmäßig. Beim Ausführen einer solchen Anwendung wird die bekannte Firewall-Meldung angezeigt, bei der man die Verbindung erlauben kann. Dies erhöht die Sicherheit und die Privatsphäre. Im Gegensatz zu den eingehenden Verbindungen erlaubt die Windows-Firewall von Haus aus allerdings keine Kontrolle über die ausgehenden Verbindungen. Das ist insofern von großem Nachteil, da man erstens nichts bemerkt, wenn ein Programm versucht eine Verbindung zu Internet aufzubauen, als auch, dass man es nicht unterbinden kann. Viele Programme (oder Apps) funken also unbewusst großzügig Daten nach Hause. Außerdem zeigt die Windows-Firewall nicht die momentan aktiven Verbindungen und die genutzte Bandbreite an.

Warum die Windows-Firewall?

firewall_win

Die Windows-Firewall bietet einen grundlegenden Schutz vor Attacken aus dem Internet. Der ist in den meisten fällig völlig ausreichend, zumal bei vielen zwischen PC und Internet noch ein Router zwischengeschaltet ist, der als Hardware-Firewall fungiert.

Vorgestellt: TinyWall

firewall_tinywall

Mein persönlicher Favorit, da einfach und unkompliziert. Einmal installiert, findet sich das TinyWall Icon in der Taskleiste. Eine eigene Anwendungsoberfläche gibt es nicht. Ein Nachteil besteht darin, dass es nicht darüber informiert, wenn ein Zugriff auf das Internet oder eine eingehende Verbindung blockiert wurde. Im „Lernmodus“ lässt TW erst einmal alle Verbindungen zu, später kann man dann in der Konfiguration nachverfolgen, was alles mit dem Internet kommuniziert hat, und aussortieren. Laut Hersteller verfügt das Programm neben den Filterregeln auch über zusätzliche Schutzmechanismen.

Zum Download: https://tinywall.pados.hu/

Vorgestellt: Windows Firewall Notifier

firewall_wfn

Das ebenfalls bekannte WFN kommt da schon etwas eleganter daher. So wird man nach der Installation künftig bei jedem Zugriff mit einem Dialogfeld konfrontiert, dass an die bekannten namenhaften Firewalls wie Comodo oder ZoneAlarm erinnert. Das ist praktisch, aber vielleicht auch nicht jedermanns Sache. Ein Nachteil besteht bei diesem Programm, dass die Menüführung und Konfiguration etwas unübersichtlich und die Übersetzung unvollständig ist.

Zum Download: https://wfn.codeplex.com/

Aus meiner Erfahrung heraus kann ich bestätigen, dass die aktuelle Windows Firewall neben einem guten Virenschutz vollkommen ausreichend ist. Wenn ihr andere Erfahrungen gemacht habt, schreibt doch etwas in die Kommentare 🙂

Übrigens: Besitzt ihr über keinen (aktuelleren) Router und verbindet euch möglicherweise sogar direkt über ein Modem mit dem Internet, seit ihr nicht zusätzlich durch eine „Hardware-Firewall“ geschützt. In diesem Falle würde es sich tatsächlich lohnen, mal einen Blick auf kommerzielle Firewall-Lösungen zu werfen.

Backup in der Cloud #02: Dateien verschlüsseln

[…] Zum Schutz der eigenen Privatsphäre sollten die auf die Cloud hochgeladenen Daten stehts verschlüsselt sein. Nicht nur, weil man nie weiß, in welchen Händen die Daten gelangen, oder ob euch mal die Zugangsdaten entwendet werden: So durchsucht z.B. Microsoft bei OneDrive auch mit Bots systematisch die OneDrive-Konten seiner Benutzer auf nicht regelkonforme Inhalte, wie ihr zum Beispiel hier nachlesen könnt. Mit diesen vier Tools geht das Verschlüsseln eurer Daten ganz einfach von der Hand:

++ 7-Zip ++ VeraCrypt ++Cryptomator ++ deja-dup ++

Das bekannte Packprogramm 7-Zip bietet beim Komprimieren auch eine Verschlüsselung des Archivinhaltes inklusive der Dateinamen mit AES-256 an. Wer bei großen Dateimengen nicht stundenlang warten möchte und genug Speicherplatz zur Verfügung hat, reduziert einfach die Kompressionsstärke. Zur Website ->

VeraCrypt ist der inoffizielle Nachfolger des bekannten Tools TrueCrypt und gilt als „sicher“. Erstellte Container können mit gängigen Verschlüsselungsstandards sicher, auch kombiniert verschlüsselt werden. Der Container wird anschließend über das Hauptprogramm eingebunden und als virtuelles Laufwerk dargestellt. Die Methode ist bei vielen kleineren Dateimengen eher etwas arbeitsaufwendig. Zur Website ->

Das aus Deutschland stammende quelloffene Tool Cryptomator erfreut sich zunehmender Popularität. Im Programm können wie u.a. bei VeraCrypt verschlüsselte Container angelegt werden, die aber (und das ist das neue) automatisch in Teilcontainer aufgesplittet werden, so dass kein unflexibles „Monsterarchiv“ entsteht. Außerdem werden bei einer Aktualisierung des Containerinhaltes immer nur die betroffenen Teilcontainer geändert, so dass auch nur diese neu hochgeladen werden müssen, was Zeit und Traffic spart. Das Tool kann zudem bequem in die gängigen Uploader-Ordner von OneDrive, Dropbox usw. eingebunden werden. Zur Website ->

Das unter Debian-Linux und Derivaten wie Ubuntu verbreitete Programm deja-dup (Duplicity), auch als Datensicherung bekannt, nutzt schon lange einen ähnlichen Ansatz wie Cryptomator. Der zu sichernde Inhalt wird auf Wunsch verschlüsselt und automatisch in ca. 25 mb große Teile aufgesplittet. Die Daten können neben einer lokalen Sicherung auch automatisch mit einem Netzwerklaufwerk, Amazon Cloud oder einem WebDAV-Dienst synchronisiert werden. Die Verwendung von deja-dup ist sehr einfach, bei mir kommt es jedoch zu Problemen, da auf Grund der kleinen Dateiteilgrößen von 25Mb schnell das Dateianzahllimit auf meinem Cloud-Speicher erreicht ist.* Deja-dup ist in den gängigen Paketquellen enthalten, ansonsten ist es hier zu finden.

*Werksseitig bietet deja-dup wenig Einstellungsmöglichkeiten. So lässt sich auch nicht die Splitgröße der Backups einstellen. Auf launchpad gibt es eine angepasste Version, die eine Veränderung dieser Größe zulässt. Der Code kann via bazar empfangen und mit cmake kompiliert werden.

Internet Explorer: Keine (Sicherheits)Updates mehr für ältere Versionen

Aufgepasst: Ab heute wird Microsoft keine Sicherheitsupdates mehr für ältere Versionen des Internet Explorers auf Windows mehr veröffentlichen. Betroffene Nutzer sollen auf die neueste Version aktualisieren, falls nicht schon geschehen. Da der offizielle Support für Windows XP bereits ausgelaufen ist, bedeutet das im Falle von Windows Vista SP2 den Internet Explorer 9, für Windows 7 und Windows 8.1 den Internet Explorer 11. Dieser sollte durch Windows Update auf die aktuellste Version gepatcht sein.

Klickt im Internet Explorer oben in der Menüleiste auf „Hilfe“ bzw. auf das Zahnradsymbol und anschließend auf „Info“, um zu erfahren, welche Version ihr benutzt.

Gibt es die aktuelle Version 9 oder 11 nicht für euer System, so solltet ihr auf einen alternativen Browser, wie Firefox, Chrome oder Opera ausweichen. Ansonsten kann ich euch empfehlen, die Sicherheitseinstellungen entsprechend anzupassen, wie ich bereits in einem Beitrag aus dem letzten Jahr beschrieben habe und eine Adblock-Filterliste zu aktivieren (Internet Explorer 10+).

Quelle: Microsoft