Lücken im System

...von Windows XP

...und wie man sie schließt: Eine kommentierte Linksammlung für Anfänger (als Linux-User bin ich auch ein Windows XP-Anfänger ;-)
Eine Surf-Session auf einer Welle von Sicherheitsseiten mit dem Versuch, einen halbwegs realistischen Blick auf die tatsächliche Bedrohungssituation und notwendige Maßnahmen zu werfen:

Wie Du siehst ;-) erstens geht es schneller als du denkst. Daher logischerweise der erste dringende Tipp: Updaten! Regelmäßig! Lieber automatisch im Hintergrund, als nur alle paar Monate... (Und weil ich gerade erlebt habe, dass Nachbarn gar nicht wussten, was das Service Pack 2 ist: Das wichtigste aller XP-Updates.)
Zweitens fängt die Sicherheit tatsächlich tief unten im System an- ganz besonders bei Windows XP. Das sollte dich übrigens nicht allzu sehr erschrecken, denn alle hier erwähnten Maßnahmen sind eigentlich recht einfach und auch für Anfänger leicht zu bewerkstelligen- hier die Übersicht:

1. Die Basis abdichten-
grundlegende Lücken von Windows XP:

2. Den Überbau einstellen:

Microsofts Grundkonzept: Die Sicherheitszonen

Die (Internet-) Standardprogramme von XP:
3. Putzkolonne aufstellen: Schutzprogramme
Und zum Schluss:
Nochmal eine Sicherheits-Checkliste,
die vernünftigsten Links, die ich finden konnte
und ein Wort zu Linux.

Typische Lücken von Windows XP

1.Die Sache mit den Rechten
Ja, für viele Windows-User dürfte das immer noch neu sein: Man kann festlegen, wer wo was darf und wer nicht. Im Zweifelsfall lässt sich sogar für jede einzelne Datei definieren, wer sie nur lesen, darin schreiben oder evtl. Programme ausführen darf- oder garnichts von alledem (zumindest unter Unix/Linux ist das so). Viele haben leider noch nie etwas davon gehört, weil unter Windows XP erstmal jeder alles darf- und das gilt heutzutage leider auch für einen Virus, der seinen Weg auf die Festplatte findet...
Ausführliche Problembeschreibung kommt von der c't. Und wie Du das einfach abstellen kannst, beschreibt Carl Klüter auf comsafe.de.

2.Die (Netzwerk-) Dienste
Windows XP ist das erste Windows für Heimanwender, dass wirklich Netzwerk-fähig ist. In einem Netzwerk können Rechner Programme auf anderen PCs benutzen- diese werden dann Dienste genannt. Leider hat Microsoft vorab einige Dienste eingeschaltet, die erstmal kaum jemand benötigt. Schlimmer noch: Der RPC-Dienst beispielsweise erlangte unschönen Weltruhm, weil er im Service Pack 1 noch automatisch aktiv war und dem Win32Blaster-Wurm Tür und Tor öffnete.
Beim SP 1 genauso bekannt, wenn auch nicht gefährlich, sondern einfach nur lästig ist der Nachrichtendienst, der eine ganze Zeit das Lieblingsspielzeug diverser Spammer- wie du den loswirst, hat Frank Ziemann hier beschrieben.
Leider zwingt diese Situation auch Anfänger immer noch dazu, sehr schnell ziemlich tief ins System einzusteigen, aber das ist glücklicherweise dann doch nicht so schwierig, wie sich das zuerst anhört. Weil das ein so gravierendes Problem ist, gibt es genug Seiten, die Listen zum Thema anbieten:
Eine sehr ausführliche gibt es bei WinTotal und eine gründliche Anleitung kommt von Torsten Mann, der sogar auch ein Tool parat hält, dass die Arbeit erledigt. Aber lies vorher auch mal die Abteilung Bekannte Probleme etwas tiefer...

Firewall?
Netter Nebeneffekt: Wenn du die Dienste richtig einstellst, kannst du eigentlich auf eine Firewall verzichten- Carl Klüter formuliert etwas neutraler, Torsten Mann ist da straight. Finde ich sehr logisch, ist aber umstritten.
Wenn du trotzdem eine Firewall verwenden willst, reicht allen Unkenrufen zum trotz die Windows-eigene völlig aus- gerade, weil sie sehr einfach ist. Eine nette Anleitung zur Firewall von Windows XP hat WinTotal. Lustig zu lesende Grundsatzfragen werden in Lutz Donnerhakes Usenet-FAQ geklärt.

Microsofts Internet-Software

(Internet Explorer & Outlook Express)
Auch wenn es unerfreulich ist, lohnt es sich, wenn du dir klarmachst, dass fast alle der berüchtigten Schädlinge der letzten Jahre nahezu ausschließlich auf Windows XP und seine Internet-Programme ausgerichtet waren: Dieser c't-Artikel zum Internet Explorer erläutert das Problem- und ist im wesentlichen leider immer noch aktuell...
Ich bin zwar nicht ganz der radikalen Ansicht vieler Sicherheitsleute, die Internet Explorer und Outlook Express grundsätzlich für "Schlangenöl" ;-) halten. Allerdings ist das Ausweichen auf Mozilla-Produkte (Browser: Firefox, Mail: Thunderbird) beispielsweise eine sehr einfache Maßnahme, mit der du dem größten Teil des grassierenden Ungeziefers schlicht aus dem Weg gehst. Was allerdings trotzdem nichts daran ändert, dass Rechte und Dienste von Windows XP unbedingt sicher eingerichtet werden müssen!
Falls du dich ungern umgewöhnst, solltest du aber schon etwas Zeit darauf verwenden, Internet Explorer und Outlook (Express) sicher einzustellen. Denn wieder gibt es ein tiefer liegendenes Problem: Beide Programme nutzen wesentliche Einstellungen gemeinsam. Es handelt sich dabei um Microsofts Zonen-Modell- anfangs etwas verwirrend, aber bei näherem Hinsehen durchaus nützlich und vor allem kann nur nochmal betont werden: Es ist DIE Zentralstelle im Sicherheitskonzept von Windows XP und betrifft Browser (Internet Explorer) und Mail-Client (Outlook Express) in gleicher Weise.
Übrigens kann man den Internet Explorer auch nicht so einfach deinstallieren, weil nämlich der Datei-Manager nicht umsonst XP-Explorer heißt: Auch diese beiden sind miteinander verzahnt...
... was Theoretikern und Sicherheitsfachleuten die Haare zu Berge stehen lässt, aber zumindest im Hausgebrauch eher undramatisch ist- allerdings eben nur dann, wenn du dir die Zeit nimmst, alles richtig einzurichten.

Internet Explorer einstellen

Eine Erklärung mit Screenshots gibt es bei Heise.
Ausführlicher kommentiert wird die Sache bei computerbetrug.de (wie du siehst: auch sonst eine gute Seite!). Übrigens hat auch Microsoft selbst eine kurze Anleitung.

Und hier gibt es massenweise Tipps für den Alltagsgebrauch des IE:
Von Marci Castro aus der Schweiz und bei WinTotal- alles eher unsortiert, aber trotzdem einen Blick wert, denn es scheint kaum etwas zu geben, für das dort keinen Tipp gibt...

Und noch ein beliebtes Spiel: IE-Startseite kapern, bekannt als:

Browser-Hijacking

Wie man das behebt, beschreibt trojaner-info.de (auch eine wichtige Seite!) oder WinTotal. Bei Heise ist das nicht ganz auf Anfängerniveau, aber wer wissen will, wie die Sache technisch funktioniert, findet es da beschrieben.

Brain 1.0

Ist übrigens immer noch die beste Sicherheitssoftware ;-) will sagen: Schlichte Vorsicht. Beim Surfen gilt das in erster Linie für seltsame PopUps, die dir irgendwelche Dialer unterschieben. Das gleiche passiert auf Seiten, die du angeblich erst sehen kannst, wenn du irgendwo "OK" eingibst.
Genauere Beschreibungen solcher Tricksereien gibt es selbstverständlich bei dialerschutz.de.
Dringende Gründe für einen PopUp-Blocker- ob der IE inzwischen einen hat, weiß ich ehrlich gesagt nicht, aber Firefox hat nicht nur einen dabei, er ist auch standardmäßig aktiviert.
Beim Mailen gilt Vorsicht in 3 wesentlichen Bereichen (ganz egal, welches Prog du dazu verwendest): Zu letzteren zählen übrigens auch die beliebten bunten Grußkarten. Leider nicht ganz ungefährlich- was daran liegt, dass Bilder missbraucht werden können. Auf welche Weise das oft gemacht wird, ist hier beschrieben.
Ausführliches zum Thema E-Mail-Sicherheit:
Eine schöne Einführung für Anfänger, bei der das Kapitel Sicherheit besonders beachtenswert ist.
Die Hoaxbusters haben auch eine gute Beschreibung. Und sind natürlich auch sonst lesenswert. Hier gibt es zusätzlich noch Konfigurationstipps für OE und Thunderbird.
Eine nette Übersicht gibt's auch bei computerbetrug.de.

Outlook (Express) absichern

Dieses Prog hat 3 zentrale Schwachpunkte/ berüchtigte Standardeinstellungen:
  1. Mails werden automatisch geöffnet
  2. HTML-Mails ohne Warnung/Hinweis standardmäßig angezeigt
  3. Teilweise auch angehängte Dateien (Attachments) automatisch geöffnet
Manches davon soll in neuen Versionen von OE nicht mehr voreingestellt sein, sollte aber wohl besser nochmal gecheckt werden- Beschreibungen hier:
Kurz und bündig und mit Screenshots bei der Uni Heidelberg.
Text-basiert, aber immer wieder als Standardwerk gelobt sind die OE-FAQ. Besonders wichtig natürlich der Punkt zur Absicherung. Nochmal übersichtlicher gelistet bei wer-weiss-was.de (nettes Forum übrigens...)

Hoaxes

Hoaxes (=Witze) sind zwar nicht direkt gefährlich für deinen Rechner, kommen aber zumeist in der Form von Kettenbriefen daher und können ziemlich lästig werden. Die bekannteste hiesige Seite zum Thema kommt von der TU Berlin. Und die schon erwähnten Hoaxbusters sind auch einen Besuch wert. Auch wenn es streng genommen kein Hoax, sondern stinknormaler Betrug ist- der Klassiker ist die Nigeria-Connection.
Die großen Zeiten der Hoaxes scheinen allerdings vorbei zu sein, denn damit lässt sich kein Geld verdienen:

Spam

Mittlerweile ist Spam wohl das größere Problem: Wer sich noch fragt, woran das eigentlich liegt, findet es bei Heises Telepolis launig erklärt- es ist ein großes Geschäft. Mehr zum Thema gibt es auf der Seite dieser Krieger ... ;-)
Und für Leute, die genau wissen wollen, wie die E-Mails technisch funktionieren (z.B. um sich auf die Verfolgung der Missetäter zu begeben), hat Thomas Hochstein ausführliche Infos über die E-Mail-Header.
Ansonsten ein Tipp, mit dem ich recht gut fahre: Richte dir eine Mailbox ein, deren Adresse du nur an gute Freunde weitergibst und benutze eine andere für alles Öffentliche (z.B. um dich bei Foren zu registrieren). Das hält dir meiner Erfahrung nach eine ganze Menge Mist vom Halse- allerdings: Wenn du ahnungslose Freunde hast, die mit unsicherer Software durchs Netz stolpern, bleibt dir kaum was anderes übrig, als die Privat-Adresse gelegentlich zu wechseln.


OK: Erst, wenn an der Basis soweit alles abgedichtet und Brain 1.0 eingeschaltet ist ;-) sollte noch über die eigentliche Schutz-Software nachgedacht werden:

Schutzprogramme

Vielleicht vorab erstmal etwas Schädlingskunde: Über die letzten Jahre ist der Trend zu beobachten (wie hier von Kaspersky), dass die klassischen Viren, die deinen PC in irgendeiner Form durcheinander bringen, immer seltener geworden sind. Was wohl daran liegen dürfte, dass das WWW für Spaßvögel, Abzocker und andere Dunkelmänner ein viel spannenderes Betätigungsfeld ist. Dort sieht die Arbeitsweise anders aus, denn die Angreifer wollen deine Kiste gerade nicht arbeitsunfähig machen, sondern sie für ihre Zwecke benutzen: Als Spam-Verteiler, Download-Station oder Angriffsbasis für den Feind ihrer Wahl, um mal die populärsten Motive zu nennen.
Technisch wird sowas bewerkstelligt, indem man dir einen Trojaner unterjubelt, der dann hinterrücks eine Backdoor aufmacht. Und solche Hintertüren sind zumeist auch für alles andere Ungeziefer hochinteressant...
Ursprünglich wurden Trojaner viel verwendet, um Spyware zu installieren, die dich dann mit als nächstes Spam flutet. Für solche Netzpiraten hat sich ein eigener Software-Zweig entwickelt: Anti-Spyware-Programme. Gerade weil die Grenzen fließend geworden sind, ist es wichtig, ein solches parat zu haben. Praktischerweise ist die Lage in diesem Sektor sehr übersichtlich und wird sogar von Freeware dominiert: In der Fachpresse ist selten von etwas anderem als Lavasofts AdAware und Spybot (Search & Destroy) die Rede.
Viren-Scanner
Ein beliebtes Vorurteil ist, nur teure Sachen wären "richtig gut". Dieser Vergleichstest von Chip zeigt wieder, dass dem nicht so ist. Diese Freeware ist vielleicht lediglich etwas unpraktischer zu handhaben (und auf Englisch), aber die totale Sicherheit gibt es ohnehin nicht. Ansonsten ist die beste Virenerkennung ein stetiges Rennen, in dem alle paar Monate wieder ein anderer die Nase vorn hat. Das gilt natürlich besonders für die Freeware: IT-Flagschiff c't fand letztes Jahr noch BitDefender toll, dieses Jahr nicht mehr so- ansonsten ist AntiVir/FreeAV mal beliebt und empfohlen und mal auch eher nicht. Es gilt also, gelegentlich einen Blick in die Fachpresse zu tun und sich den Etappensieger der Wahl zu beschaffen...
Ansonsten ist die wichtigste Maßnahme immer noch: Vorbereitet sein (auf den schlimmsten Fall). Also: Sichere deine Daten! Regelmäßige Sicherungskopien aller wichtigen Dateien auf CD oder Diskette helfen, einen eventuellen Schaden klein zu halten (dazu werde ich demnächst noch etwas verfassen).


So- das wär's erstmal mit den konkreten Maßnahmen. Wer alles nochmal kompakt nachvollziehen will, findet bei Comsafe eine praktische Checkliste oder kann auch noch einen langen Artikel vom PC Magazin lesen ;-)

Sicherheitslinks

Mal wieder gibt es unzählige Seiten zum Thema- diese hier habe ich größtenteils im Text schon erwähnt, aus dem schlichten Grund, weil sie die wesentlichen Infos liefern (mehr brauchst du meiner Meinung nach nicht):

Bundesamt für Sicherheit in der Informationstechnik
computerbetrug.de (der Vorgänger? übrigens: dialerhilfe.de)
comsafe.de
sicherheit-online
trojaner-info.de
dialerschutz.de

network-secure.de (aus irgendwelchen Gründen unter verschiedenen Namen zu finden) richtet sich zwar eher an Profis, hat aber auch viele Tipps für Heimanwender. Ansonsten ist Heise(-Security) kaum zu toppen. Nicht zuletzt, weil es dort eben auch hie und da anfängerfreundliche Anleitungen gibt. Torsten Manns Linkblock ist auch eher was für engagierte Netzwerker.

Übrigens: Wer sich dafür interessiert, wie die Internet-Technik ganz grundlegend funktionert, kann sich mal diesen Anfängerkurs ansehen- nicht mehr ganz auf dem Stand, aber trotzdem ein guter Überblick.

Sicherheitsforen

...sind immer gut für Tipps:
protecus.de
trojaner-board.de
Auch beim schon erwähnten wer-weiss-was.de gibt es eine Sicherheits- und eine Antivirenabteilung (plus diverse Boards für Computer- und sonstige Fragen aller Art).

Und was ist mit Linux?

Wird sich mancher von euch nach der Einleitung fragen. Es stimmt für den Moment: Viele steigen auch deswegen auf Linux um, weil es dort fast keine dieser Schädlinge und erst recht nicht solche Sicherheitslücken im System gibt. Allerdings sind sich alle sicher: Das wird sich ändern, denn kein Betriebssystem ist unangreifbar und je mehr Leute Linux verwenden, desto interessanter wird es für die Finsterlinge.
Ich gehöre aber nicht zu den Aposteln, die Linux einfach allen empfehlen. Egal welche Distro- es benötigt einiges an Einarbeitungszeit (dazu demnächst mehr an dieser Stelle). Ich sag's mal so: Wer durch meine bescheidene Sicherheits-Linksammlung hier sehr viel Neues erfahren hat, würde eine ganze Menge Zeit investieren müssen. Wieder gehöre ich nicht zu den Dogmatikern, die Anfängern von einem solchen Projekt grundsätzlich abraten würden (schließlich sind wir alle Anfänger- irgendwo ;-) Aber es könnte streckenweise recht mühsam werden- so viel Realismus sollte schon sein. Aber wer Zeit, Lust und eine gute Bibliothek in der Nähe hat- ich bin immer für einen mutigen Sprung ins kalte Wasser.

Anderer Meinung?