Da kam das Problem auf mich zu: ein Auftrag für eine Produktion einer CD-ROM sowie der dräuende Internet Explorer 7 sprengte die letzten Kapazitäten meines alten PCs. Das war alles auch nicht mehr mit einer größeren Festplatte zu bewältigen, auf der ich eine fünfte NT-Installation draufpacken hätte können.
Für jemanden wie mich, der eigentlich nur auf Macs arbeitet und den PC zu nicht mehr anwirft, als mal einen Browser aufzumachen oder eben eine CD zu testen, ist die Vorstellung einen neuen PC einzurichten mithin schweißtreibend. Dank der Schlagzeilen, Blogeinträge u.ä. geht man davon aus, dass es vom ersten Internetkontakt an, nur noch um Minuten handelt, ehe man sich Dialer, Viren, Würmer und Genitalherpes eingefangen hat.
Die Aussicht Jahrgänge an c't zu wälzen, sind auch nicht verlocken, also bat ich die Leser meines Blogs mir zu mailen, was sie für das wichtigste bei Installation und Konfiguration von Windows XP halten, wohlgemerkt unter dem Gesichtspunkt, dass dieses keine „Arbeitsmaschine“, sondern „Testmaschine“ ist und daher nicht diverse Produktivitätstools draufgeknallt werden sollten.
Nun ist es nicht so, dass ich völlig ahnungslos vom Geschehen rund um Windows bin. Installation von Windows XP mit Servicepack 2 ist daher ein „Selbstgänger“ für mich. Trotzdem waren die Reaktionen meiner Leser interessant. Obwohl ich auch explizit um Konfigurationstipps bat, gab es grosso modo nur das eine Thema: wie mache ich Windows XP sicher.
Die Massivität mit der dieses Thema in den eMails auftauchte, aber auch diverse sich widersprechende Tipps, lassen ahnen wie beschissen die Lage für „Otto Normalverbraucher“ ist. Microsoft gehört windelweich dafür geprügelt, dass sie im Grunde genommen bis zum Servicepack 2 die Situation derart haben entgleisen lassen.
Ich möchte jetzt keine Plattformdiskussion auslösen, aber verdeutlichen, warum man als MacOS X-ler mit derartig großen Augen dem Viren-Phänomen unter Windows gegenüber steht.
Tatsächlich hat es seit Einführung von MacOS X (2001 als finale Version) nicht einen einzigen OS X-Virus in freilaufender Wildbahn gegeben. Die letzten Viren die ich mir eingefangen habe, stammten von 1997 unter MacOS 8 oder so. Im alten MacOS waren Viren durchaus derart an der Tagesordnung, dass es zur Pflicht gehörte einen Virenscanner einzusetzen. Aber selbst auf dieser Plattform sind die Viren inzwischen immer mehr ausgestorben. Kurz: all dieses ist derzeit unter MacOS X kein Thema (und warum das so ist, kann man in zwei Blogeinträgen nachlesen: [1] runterscrollen zum 5ten Kommentar, [2]).
Dass was Windows XP mit SP2 konzeptionell nachgerüstet hat, ist in OS X von Beginn an enthalten: interne Firewall*, Minimum an offenen Diensten nach außen. (* Präzisierung von Dave-Kay: die interne Firewall war schon vor SP2 in Windows XP enthalten. Aber sie war weder standardmäßig aktiviert, noch war sie für Laien leicht zugänglich: via „Erweitert“-Tab bei den einzelnen Netzwerkverbindungen)
Ebenfalls ein alter Hut für OS X-User: die Empfehlung die Alltagsarbeit nicht als Administrator, sondern als normaler User mit eingeschränkten Benutzerrechte zu erledigen. Wenn es unter XP mal zu Problemen wg. mangelnder Rechte gibt, kann man sich mit dem „runas“-Befehl behelfen
Was soll bei Windows installiert oder später wieder entfernt werden? Da gibt es natürlich die „Hardcore“-Variante vieles aus dem Hause Microsoft zu de-installieren. Sei es aus ideologischen Gründen, sei es aus Sicherheitsgründen. Für meinen Geschmack, ich bastle ja an keiner Kiste die 5x die Woche 8h lang eingeschaltet ist, too much. Ich habe auch zu großen Respekt von den Verknüpfungen der Systemkomponenten. Da belasse ich es lieber so wie es ist.
Eine andere Geschichte ist die der „Dienste“. Mitglieder des CCC bieten auf dingens.org ein Programm mit dem sich Dienste, abgestuft nach Einzelplatz oder Netzwerk, abschalten lassen. Die Site erklärt die Probleme leicht verständlich und bietet eine Reihe weiterführender Links.
Ebenfalls ganz oben auf der Leseliste ist ntsvcfg.de: „NT-Dienste sicher konfigurieren und abschalten“. Die Site besitzt nicht nur eine Anleitung zum Abschalten einzelner Dienste, sondern auch eine Checkliste und weitere Konfigurationsmaßnahmen.
Eine andere Form der „Konfigurationshilfe“ hat Jan/kackreiz.de zu Web gebracht: einen Blogeintrag über das Installieren und Konfigurieren eines „schlanken“ („No-Bullshit“) Windows. Man muss sich nicht jede Empfehlung zu eigen machen, aber deswegen sind wir ja alle Erwachsene mit Hirn und Stimmrecht um sich das durchzulesen und zu gucken was man macht und was nicht.
nLite — (free) eine GUI zum Deinstallieren von Systemkomponenten und brennen einer bootfähigen, abgespeckten Windows-CD.
XP Antispy (free, nicht verwechseln mit der Dialer-Site xp-antispy.de)
dingens.org — Programm schaltet diverse Windows-Dienste ab. Weiterführende Links zum Thema Sicherheit.
Den meisten Stoff zum nachdenken boten die eMails zum Thema „Personal Firewalls“.
Unter OS X habe ich dieses Konzept sehr geschätzt. „Little Snitch“ ist eine kleine „Personal Firewall“. Alles was an Internetaktivität rausgeht, wird von Little Snitch abgefangen und in seinem „Regelwerk“ überprüft. In dem Regelwerk ist festgelegt was einzelne Anwendungen dürfen. Applikationen können für bestimmte IP-Adressen und/oder Ports freigeschaltet/geblockt werden und dieses einmal/permanent/bis zum Beenden der Applikation.
Viele Kritikpunkte an „Personal Firewalls“ (PFWs) sind Konzeptionelle oder ein Problem der Umsetzung. So wurde kritisiert dass PFWs unter Windows zuviele Resourcen verschlingen und den Rechner verlangsamen. Zumindest „Little Snitch“ und OS X geben sich sehr bescheiden, sind nicht zu bemerken.
Ein weiterer Punkt: die steten Meldungen von PFWs nerven. Nun ja, wenn ich hier die Meldungshäufigkeit von „Little Snitch“ zum Maßstab mache, dann kann ich mich nicht beschweren. Das Regelwerk erlaubt eine feine Granulation. Das Problem scheint in diesem Fall eher vor der Tastatur zu sitzen.
Soweit halte ich die Kritik an PFWs bis dahin für geschmäcklerisch. Weitaus schwerer wiegen zwei weitere Bedenken. Einmal die grundsätzliche-philosophische Variante. Demnach ist ein Computer der falsche Ort um Internet-Schädlinge abzuhalten. Vielmehr muss der Schutz bereits beim Internetanschluß, also z.B. dem Router beginnen.
Und schließlich: PFWs sind unter Windows zu leicht auszuhebeln und wiegen daher User in falsche Sicherheit. Die c't 13/04 beschreibt in ihrem Test einige Möglichkeiten wie die PFWs ausgetrickst werden können. Entweder klinken sich Würmer/Viren via Browser ein, der ja i.d.R. durch die Firewall darf, oder sie schalten PFWs aus. Die namhafteren PFWs sind so bekannt, dass die Viren längst ihre Angriffstaktiken daran angepasst haben.
Wer sich mit dem konzeptionellen Für und Wider von PFWs beschäftigen will: ntsvcfg.de, Chaos Seminar Ulm, Urs Traenkner: de.comp.security.misc-FAQ, Hendrik Brummermann: Austricksen von PFW, Linkblock von ntsvcfg.de und Johannes Lichterberger: Personal Firewall FAQ.
Ich für meinen Fall werde es vermutlich bei der Windows Firewall belassen, da wie gesagt die Kiste eher nur über kürzere Zeiträume eingeschaltet ist und die meisten Aktivitäten nur im lokalen Netzwerk stattfinden werden. Aber ich werde die Artikel als schwere Anregung nehmen, mir noch einmal die Konfiguration meines Routers hinsichtlich der Firewall und Filter durchzunehmen.
Auf MacOS X-Seite werde ich es trotz der geäußerten konzeptionellen Bedenken bei „Little Snitch“ belassen. Konkrete Möglichkeiten „Little Snitch“ zu umgehen, sind mir nicht bekannt und stellt sich möglicherweise auch schon deswegen als schwerer dar, da sich „Little Snitch“ m.W. als Kernel-Erweiterung einklinkt. „Little Snitch“ erfüllt für mich ein wichtiges Kriterium: seine Reaktionen und Meldungen sind für mich jederzeit nachvollziehbar. Sie kommen nicht zu häufig, sie nerven nicht und wenn sie kommen, weiß ich warum. Damit ist es für mich weiterhin ein wichtiges Tool zur Kontrolle der Netzwerkaktivitäten.
Kerio Personal Firewall — (teilweise free) die PFW kommt in c't-Tests neben der von Sygate am besten weg. Guter „Blocker“, merkt aber nicht, wenn sie von einem Schädling beendet wird oder wenn Ports offen sind.
ZoneAlarm — (teilweise free) eine anfängerfreundliche PFW mit Schwächen bei ausgehenden Verbindungen.
Windows Firewall — seit SP2 drin. Guter Grundschutz aber warnt nicht vor ausgehendem Verkehr.
Sygate Personal Firewall — (teilweise free) c't beurteilt sie als bessere PFW als Kerio, aber komplexer und schwerer zu bedienen.
Es gibt zwei Grundregeln die nahezu jeder in seiner eMail erwähnte. 1/ Service Pack 2 aufspielen, 2/ Windows-Updates automatisch aufspielen lassen.
Letzteres ist etwas, was ich Mac-Usern nur eingeschränkt empfehlen würde. Die Systemupdates von Apple greifen mitunter tief in das System ein, weswegen ich immer empfehlen würde bei Updates erst ein paar Tage zu warten und zu beobachten was für Rückmeldungen bei MacFixIt und Macintouch kommen. Entscheidend ist nicht ob Probleme gemeldet werden — die sind bei komplexer Software unvermeidlich — sondern welche und wieviele.
Ich kann übrigens die Windows-User beruhigen: Software aus dem Hause Norton geniesst bei Mac-Usern einen genauso beschissenen Ruf.
Während bei den Virenprogrammen die Lage ganz gut aussieht, resümmiert die c't in einem Spyware-Test, dass leider keine der Software wirklich Sicherheit garantiert. Jedes der besseren Produkte hat irgendwo noch seine Probleme.
Herr Dave-Kay hat zeitlich nicht unfern mit meinem Aufruf zufällig auch eine kleine Sicherheitsliste aufgestellt, u.a. mit Konfiguration von Routern/WLANs, aber auch Antiviren-Software. Seine Empfehlung ist Kapersky. Das freie Kapersky-Produkt ist etwas unfähig, aber nicht nur Dave-Kay schwärmt vom Vollprodukt (Lizenz-Schlüssel bis November bei heise security). Laut c't gehört Kapersky zu den schnellsten und eifrigsten Aktualisierern ihrer „Signaturen“ (Aktualisierungsdaten über neue Viren)
AVG Free Edition — (free) Virenscanner, c't-Testsieger bei frei erhältlichen Virenscanner.
AntiVir Personal Edition — (free) Virenscanner, von der c't als zweitbester frei erhältlicher Virenscanner gehalten, aber langsamer und nicht so umfangreich wie AVG.
Avast! Home Edition — (free) Virenscanner, wurde von der c't wg. Nichterkennens von einigen Viren für mau befunden.
SpyBot S&D — (free) eine der wenigen Programme die unisono empfohlen wurden.
AdAware — (free) ist der Vater aller Spyware-Bekämpfer, hat aber zwischenzeitlich so seine Macken.
Microsoft Anti Spyware — (seit Frühjahr 2005 in frei erhältlicher Beta) ist zwar noch in Beta, soll aber erstaunlich gut sein. Vorteil: aktualisiert sich automatisch und kann aufgrund eines anderen Ansatzes auch Systeme wieder flottmachen, an denen Spybot S&D und AdAware scheitern. Empfohlen von Dave-Kay.
Es gab auch zahlreiche Empfehlungen für kleinere Tools wie man sie brauchen kann, selbst wenn man nicht wirklich auf der Kiste arbeiten will. Aber es kann immer vorkommen, dass man hier und da mal etwas an einer datei arbeiten musss.
Ich möchte mich bei allen bedanken, die mir eMails geschickt haben: Stefan Walter, Tim Zech, Stefan Freimark, Michael Kreuzer, Roman Röhrig und Jan Varwig.
c't-Tests von Personal Firewalls: 13/04 S.142, 21/04 S.196
c't-Test von Virenscanner: 1/05 S.128
Windows sichermachen: 26/03 S.96, 15/04
