Kann es ein 100% sicheres System geben?
Die Frage nach Sicherheit zieht sofort die Gegenfrage "Wogegen?" nach sich. Wie schützt man ein System gegen bspw. Fehlbedienung?
Der Begriff Sicherheit bezieht sich auf ein bestimmtes Szenario und ist dort binär: Entweder ein System ist gegenüber genau diesem Szenario sicher oder eben nicht. Trotzdem hört man immer wieder davon, etwas "sicherer" zu machen. Dies bezieht sich auf die Gesamtmenge aller denkbaren Szenarien und versucht den Prozentsatz der Szenarien zu ermittlen, in denen das System sicher ist. Da aber ein unsicheres Szenario genügt, um ein System zu kompromittieren, ist diese Denkweise höchst gefährlich. Es gibt überabzählbar unendlich viele Szenarien, man kann sich aber nur gegen konkrete Szenarien schützen. Das Maß der so entstehenden Gesamtsicherheit ist aber nicht zwangsweise Null, da man sich gegen Sicherheitsklassen schützen kann (Pufferüberläufe, Rechner wegtragen, Stromausfall bis zu einer Stunde). usw..
Erstes Fazit: Man braucht eine Liste von Szenarien, in denen man Sicherheit erreichen will. → Ein Konzept.
Was ist aber nun sicher? Es gibt viele Antworten, meine ist: "Sicher ist ein System genau dann, wenn die Kosten des Angriffs den erzielbaren Nutzen niemals unterschreiten." Diese Definition gestattet es, die Sicherheit von Systemen zu ermitteln, da man theoretische Untergrenzen des Aufwandes ermitteln kann und somit weiß, wieviel Wert man einem solchen System anvertrauen kann. Z.B. ist der Wert einer Pressemitteilung auf die Zeit vor deren Veröffentlichung begrenzt. Ein Schutz, der mit einem Aufwand von einer Mio EUR nicht unter einem Monat zu brechen ist, reicht also, um wöchentliche Meldungen zu schützen, aus denen man weniger Nutzen ziehen kann.
Zurück zur Frage: Kann es ein 100%ig sicheres System geben? JA! Trenne das Netzwerkkabel, trenne den Router vom Rechner, entferne CD/DVD Laufwerke sowie Diskettenlaufwerke, fülle USB Anschlüsse mit Mehrkomponentenkleber und nimm Tastatur und Monitor vom System weg. Jetzt ist der Rechner zu 100% sicher. ;-) Aber das war jetzt nicht das, was Du hören wolltest, hmmh?
Sicherheit benötigt ein Konzept.
Da Sicherheit zuallererst im Kopf anfängt muss klar gesagt werden, dass man vor jedem Klick überlegen muss. Die meisten Schädlinge gelangen immer noch durch Fehlbedienung auf das System. Hier muss also zuerst angesetzt werden. Denken Sie daher am Besten dreimal nach, bevor Sie zum Beispiel einen eMail Anhang anklicken oder öffnen. Trojaner sind eine der gefährlichsten Schädlingsarten, die Ihren Rechner befallen können und immer ist man es selber, der diese Schädlinge erst auf den Rechner bringt. Das wichtigste ist daher der richtige Umgang mit Dateianhängen. Auch in Dateitypen, die auf den ersten Blick harmlos erscheinen, können sich Schädlinge verbergen. So gibt es mittlerweile sogar Schädlinge in Grafikformaten wie WMF oder BMP. Wer auf Nummer sicher gehen will, sollte nur angeforderte oder erwartete Dateianhänge aus E-Mails öffnen. Im Zweifelsfall sollte man beim Absender vorher nachfragen, denn die Absenderadresse ist kein Indiz für eine virenfreie Mail, ganz im Gegenteil: Viele Schädlinge benutzen Absenderadressen aus den lokalen Adressbüchern, so dass Wurm-Mails häufiger von bekannten Mail-Adressen stammen.
Anschliessend sollte man Windows sofort die Möglichkeit nehmen, Dienste nach außen anzubieten. Es gibt hervorragende Tools, mit denen man automatisiert unsichere Dienste beenden kann. Da mein Vista Dienste Konfigtool nur unter Windows Vista funktioniert, verlinke ich zu der bekannten Seite http://www.ntsvcfg.de/, wo man für Windows XP ein hervorragendes Tool downloaden kann.
Administrative Freigaben (Datei und Druckerfreigabe) deaktivieren.
Standardmäßig erstellt Windows XP Verwaltungsfreigaben für jedes im System befindliche Laufwerk, etwa C$, D$, IPC$ und so weiter. Auch Angreifer kennen selbstverständlich diese Freigaben. Deshalb sind sie oft Brute-Force-Attacken zum Erraten von Passwörtern sowie Angriffen anderer Art ausgesetzt. Bei der weit verbreiteten "Unsitte", alle Benutzeraccounts immer mit Administratorrechten auszustatten, damit Installationen schnell und problemlos möglich sind und es keinerlei Probleme mit Zugriffsbeschränkungen gibt und diese dann auch nicht mit sicheren Passwörtern auszustatten, öffnen sich für Angreifer auf einfachste Weise Tür und Tor des Systems.
Ein kleines Szenario:
Sie haben einen WLAN-Router und gehen kabelos ins Internet. Das WLAN ist nicht verschlüsselt, wie gesetzlich vorgeschrieben (auch verschlüsseltes WLAN kann schnell geknackt werden), ich sitze in meinem Auto unten an der Strasse und linke mich in ihr Netzwerk ein. Ich finde kurz mal die IP-Adresse Ihres Rechners raus (dauert keine Minute) und kann nun mittels der Administrativen Freigaben von meinem Laptop aus auf ihre Laufwerke zugreifen und mir ALLE auf der Festplatte befindlichen Daten anzeigen lassen. (Für Laufwerk c gibt man z.B in Start --> Ausführen ein: \\IP-Adresse\C$ und ohne vergebenes Passwort habe ich sofortigen Zugriff) Nun kann ich alle Daten sehen, wie z.B. die wirklich "interessanten" Fotos ihrer Frau, ihre Geschäftskorrespondenz, ihre Bilanz, einfach alles. Ich fände das ganz cool und Sie?
Obwohl sich die Freigaben mittels der Computerverwaltung löschen lassen, stellt sie Windows nach jedem Neustart automatisch wieder her. Deshalb müssen sie in der Registrierung dauerhaft deaktiviert werden. Dies kann ein kleines Script automatisch für uns erledigen. Einfach downloaden, mit WinRar entpacken und doppelklicken auf die Datei, dann sind die Freigaben bei einem Neustart deaktiviert.
Download Administrative Freigaben deaktivieren Win XP
Download Administrative Freigaben deaktivieren Win Server 2003
Administrative Freigaben unter Vista deaktivieren
Unter Windows Vista kann man die Administrativen Freigaben ganz einfach im Netzwerk und Freigabecenter deaktivieren. Hier kann auch ganz explizit festgelegt werden, welche Ordner freigegeben werden sollen und ob mit Kennwort oder ohne.
Link zum Thema:
Der Landesbeauftragte für Datenschutz Bremen: Zugriff auf Privates möglich
Personal Firewall deinstallieren - Firewall auf Router aktivieren
Warum sogenannte "Personal Firewalls" nichts taugen und wie leicht man sie umgehen kann, habe ich bereits hier ausführlich beschrieben. Etwas besser sind da schon externe Paketfilter, wie sie z.B. viele DSL-Router inzwischen mitbringen. Die sind auch meistens noch einfacher zu benutzen, also eine gute Wahl, wenn man erstmal schnell den gröbsten Unfug verhindern will. Ein Ersatz für gebührende Vorsicht sind aber auch diese Geräte nicht.
Ein vernünftiges Antiviren Programm installieren.
Genauere Informationen über Antiviren Programme und welche "gut" sind, beschreibe ich hier ausführlich.
Antivirenprogramme - die Facts
Weitere Dinge, die Rechner "sicherer" machen
- Zum Surfen den richtigen Browser einsetzen und diesen richtig konfigurieren.
Hierzu bitte mein großes Browser Special mit Hintergrundinformationen lesen.
- Keine Pornoseiten ansurfen
Pornoseiten sind die Garantie um sich unliebsame Dinge aus dem Netz einzufangen. Hierauf sollte man ganz und gar verzichten. Sollte man sich jedoch nicht zurückhalten können oder wollen, so kann man die Sache schon etwas sicherer gestalten. Die Software "Sandboxie" hat unter anderem die Funktion, einen Webbrowser innerhalb einer sogenannten Sandbox laufen lassen zu können. Die Chance, das Schadsoftware aus dieser Sandbox ausbricht, ist gering (aber immer gegeben, deshalb besser lassen).
- Das richtige Benutzerkonto einsetzen.
Merke: Surfe niemals mit einem Administratorkonto im Internet. Damit Schadsoftware sich installieren kann und sich ausführen kann, benötigt sie (wie fast jedes andere Programm auch) administrative Rechte. Surft man nun mit einem Administratorkonto im Netz, bekommt Schadsoftware sofort diese nötigen Rechte vom System zugeteilt und kann sich ausführen. Nur wenn mann ausschliesslich mit einem normalen Benutzerkonto im Internet surft, kann man dieser Bedrohung aus dem Wege gehen. Ein administratives Benutzerkonto ist nur und ausschliesslich für administrative Aufgaben wie z.B. das Installieren von Software gedacht. Unter Win XP oder Server 2003 legt man ein spezielles Benutzerkonto für die ganz alltäglichen Aufgaben wie z.B. surfen / gamen an und arbeitet nur damit. Unter Windows Vista gibt es die Benutzerkontensteuerung (UAC), jedoch muss auch dieses (wirklich sehr sinnvolle) Sicherheitsfeature sinnvoll eingesetzt werden. Wie das genau geht, beschreibt mein Vista Benutzerkontensteuerung (UAC) Special.