was ist schon sicher

Hallo

Mich würden mal einige grundlegende Fragen, bzw. eure Meinungen dazu zum Thema Sicherheit interessieren. Ich bin nämlich etwas verunsichert.
Was braucht man alles um seinen PC halbwegs sicher zu haben:
Virenscanner - klar (warum kann ein Virenscanner nix gegen Trojaner und Maleware tun?)
Firewall - da gehen die Meinungen auseinander. Manche sagen Firewalls schlagen neue Sicherheitslücken. Ich verzichte darauf.
Kein IE und kein Outlook - ist wohl mit das wichtigste.

Oder sollte man ganz radukal sein und einfach auf Linux umsteigen?
Ist Linux bessert was Sicherheit angeht?

Freu mich auf eure Meinungen.

 

Der Einsatz des gesunden Menschenverstands (auch bekannt als Brain 1.0) ist das effektivste Mittel zur Erhöhung der Sicherheit.

Ich sage bewußt Erhöhung, denn absolute Sicherheit ist unmöglich (auch mit Linux).


Was die Software angeht, folgendes halte ich für sinnvoll:
(Zur Unterstützung von Brain 1.0)

- Virenscanner (wichtiger: Virenwächter) installieren und aktuell halten

- Windows-Dienste konfigurieren http://www.ntsvcfg.de/

- Windows über die Update-Funktion aktuell halten


Nicht notwendig sind:
(überflüssig bei Einsatz von Brain 1.0)

- Software-Firewall

- Wechsel des Browsers oder e-mail-Programms

 

Hallo timbo16,

zum Thema Sicherheit findest du hier viele Links:
http://www.ntsvcfg.de/linkblock.html
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Hier mal ein kleiner Auszug:

* Keine nicht vertrauenswürdige Software (z.B. aus dubiosen Quellen) nutzen, nur Original-Software einsetzen.

* Ein Betriebssystem verwenden, das verschiedene Benutzerrechte anbietet (z.B. Windows NT/2000/XP).

* Ein Dateisystem, das ACLs (Zugangsberechtigungen) anbietet einsetzen (z.B. NTFS) und natürlich auch entsprechende ACLs setzen.

* Nie als Administrator arbeiten. Vor administrativen Arbeiten genau nachdenken was man tut. Achtung: unter Windows 9x und Windows ME ist jeder Nutzer automatisch Administrator!

Einige (schlecht programmierte) Anwendungen erfordern für den Betrieb Zugriff auf Dateien oder Registry-Einträge, für die ein normaler Anwender keine ausreichende Berechtigungen besitzt. Ein fortgeschrittener Anwender kann solche Dateien und Registry-Einträge mit Werkzeugen wie FileMon und RegMon identifizieren und die Berechtigungen entsprechend anpassen. Eine weitere Möglichkeit ist es solchen Programmen administrative Rechte zu geben, indem man mittels Werzeugen wie runas (Bestandteil von Windows) oder SUperiorSU ausführt, was jedoch ein Sicherheitsrisiko darstellt, da der Anwender so auf Dateien (und evtl. auch Anwendungen) zugreifen kann, für die er selbst keine Berechtigungen besitzt.

* Für jeden Benutzer sichere Passwörter verwenden, d.h. mindestens 6 Zeichen lang, Kombinationen aus Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen. Vor allem sollten keine Begriffe aus dem privaten Umfeld (Name der Freundin, des Hundes, Autokennzeichen o.Ä.) oder aus irgendwelchen Wörterbüchern verwendet werden. Die Passwörter sollte man regelmäßig (mindestens einmal im Jahr) wechseln und keinesfalls notieren (außer vielleicht auf einem Zettel, der im Safe liegt).

* Alle unnötigen Dienste abschalten, die benötigten Dienste nur an die Interfaces binden, auf denen sie benötigt werden. Wegen grober Fehler in der Architektur von Windows können manche Dienste nur global für alle Interfaces gesteuert werden, was zur Folge haben kann, dass z.B. die ,,Netzwerkumgebung``nicht mehr im vollen Umfang funktioniert, wenn man einen solchen Dienst beendet. Für diese Aufgabe gibt es im Netz entsprechende Anleitungen und automatisierte Skripte, die es auch Laien ermöglichen, eine sichere Konfiguration zu erreichen.

Sollte man also auf die entsprechenden Dienste im LAN angewiesen sein, so ist zu empfehlen einen externen Paketfilter für den Internetzugang zu verwenden. Keinesfalls sollte man auf hostbasierte Paketfilter wie die sog. ,,Personal Firewalls``zurückgreifen, da dieser Ansatz keine Sicherheit bringen kann. Eine Alternative zur Paketfilterung auf dem Host selbst können in begrenztem Maße die IPSec-Policies sein, wobei diese als kleinen Schönheitsfehler keine standardkonformen ,,Reject``-Regeln erlauben, sondern Pakete nur vollständig blocken können, d.h. ohne Fehlermeldung an die Gegenstelle verwerfen.

* Inhärent unsichere Software, die in der Vergangenheit schon oft durch Sicherheitslücken aufgefallen ist (z.B. Internet Explorer, Outlook / Outlook Express, Internet Information Server, Filesharing-Tools, ICQ & Co.), durch bessere Alternativen (z.B. Mozilla/Netscape, Opera, Apache usw.) ersetzen bzw. wenn möglich ganz darauf verzichten.

* Die genutzte Software sicher konfigurieren. Z.B. ActiveX und Active Scripting / Java Script deaktivieren, Makro-Funktionalitäten in den Office Produkten einschränken (wenn man sie nicht benötigt, einfach ganz deaktivieren) etc.

* Sicherheitsupdates zeitnah nach dem Erscheinen einspielen. Dies kann z.B. durch regelmäßige, d.h. mindestens einmal wöchentliche, Nutzung von Windows Update (zwar nicht optimal, aber für den Heimanwender immer noch die beste Lösung) geschehen.

Für alle, die Windows-Update aus verschiedensten Gründen nicht nutzen wollen oder können, existieren Quellen, die Skripte zum Download und zur Offline-Installation der Patches für MS Windows anbieten, die ohne Windows Update auskommen. Diese Skripte erlauben es auch, sich die Patches einmal herunterzuladen und auf vielen verschiedenen Rechnern offline einzuspielen.

* Sicherheits-Mailinglisten abonnieren, um über neue Schwachstellen und Patches informiert zu sein. Beispiele sind Bugtraq (englisch, relativ hohes Nachrichtenaufkommen) oder RUS-CERT-Ticker (deutsch, umfassende Bewertungen, leider momentan nur eingeschränkter Betrieb). Auch einzelne Softwarehersteller wie z.B. Microsoft bieten solche Dienste per e-Mail an, die auf Probleme mit den Programmen des jeweiligen Herstellers beschränkt sind.

* Bei fremden Dateien (z.B. aus Downloads oder eMail-Anhängen) lieber zweimal nachdenken bevor man sie ausführt. Bei unverlangten Attachments lieber beim Absender nachfragen, ob diese auch von ihm stammen. Achtung: auch scheinbare Datendateien (wie z.B. von diversen Office-Programmen) können ausführbare Inhalte besitzen und damit gefährlich sein!

Als ganz einfache Regel kann man sagen, dass man nur die Attachments oder Downloads öffnen sollte, bei denen man keinerlei Zweifel an deren Ursprung und Vertrauenswürdigkeit hat. Sobald man auch nur ein bißchen zweifelt, sollte man lieber zuerst beim Absender nachfragen, oder ganz auf das Öffnen verzichten und die Mail löschen. Keine Angst, man ,,blamiert``sich durch das Nachfragen keineswegs, im Gegenteil, es ist ein Zeichen für sichere Beherrschung des Mediums (natürlich nur, wenn man dem Gegenüber den Grund der Nachfrage erklärt). Das Einzige, was wirklich peinlich werden kann, ist, wenn man den gesamten Bekanntenkreis mit Viren/Würmern überschüttet, und eben dies wird so verhindert.

* Evtl. einen Virenscanner einsetzen (nicht den residenten Teil, da dieser so gut wie keinen Sicherheitsgewinn bringt und zudem immens Rechenleistung verbraucht). Wenn man stets alle Sicherheitsupdates rechtzeitig einspielt, vernünftige und korrekt konfigurierte Software einsetzt und die nötige Vorsicht mit fremden Dateien walten läßt, sollte aber ein Virenscanner unnötig sein.

Man muß sich, falls man sich doch für ein solches Programm entscheidet, aber sehr genau im klaren darüber sein, dass Virenscanner ausschließlich bekannte, unmodifizierte Viren erkennen können (und das auch nur mit Erfolgsquoten von maximal 95%). Bei allen neu auftretenden Viren / Würmern ist man auch mit Scanner schutzlos, da ein Wurm sich heutzutage in 1-2 Tagen weltweit verbreiten kann und i.d.R. einige Stunden bis etwa 5 Tage (dies hängt vom Hersteller und dem gewählten Update-Service ab) vergehen bis erste Signaturupdates für die Scanner verfügbar sind. Teilweise werden Bestandteile eines Schadprogramms von den Herstellern der Virenscanner überhaupt nicht als solche erkannt, wie es z.B. lange Zeit bei einem Teil der ,,Nutzlast``des Sobig.A Wurms der Fall war. Deshalb sollte man, wenn man einen Scanner einsetzt trotzdem mindestens genauso vorsichtig sein wie ohne und zudem regelmäßig (wöchentlich dürfte ein guter Kompromiß sein) Signaturupdates einspielen um ein einigermaßen vernünftiges Maß an Sicherheitsgewinn aus einem Virenscanner ziehen zu können.

Wenn man diese Einschränkungen nicht kennt, oder nicht beachtet, kann sich, wegen der Mängel des Konzepts und des Effekts der Risikokompensation, durch die Nutzung eines Virenscanners das Sicherheitsniveau sogar verschlechtern.

* Regelmäßige Backups der Daten (nicht der Programme, denn diese verbrauchen nur unnötig Zeit und Platz auf den Backupmedien und können von den Original Datenträgern schneller neu installiert werden) durchführen und die Backupmedien vom Rechner getrennt aufbewahren. Man sollte sich aber auch regelmäßig vergewissern, dass die Backups auch wieder zurückgespielt werden können.

* Ein Konzept für den Fall einer Kompromittierung des Systems griffbereit haben.

Quelle: http://faq.underflow.de/