DerFisch.de

Zur Abwechslung gibt es heute mal einen längeren Beitrag von mir. Anlass dazu gab mir ein Artikel in der aktuellen PC Professionell, über den ich mich wirklich geärgert habe. Aber lest selbst hier oder offline die PDF Version: Sicherheits_und_Tuningtipps.pdf Sicherheits- und Tuningtipps im Visier Regelmäßig finden sich in diversen Fachzeitschriften Rubriken wie "1000 tolle Tuningtipps", "Windows schneller und sicherer durch Tuning", "Windows bunter und besser" oder ähnliches. Viele der Tipps, die dort gegeben werden, sind aber wertlos, sinnlos, wenn nicht sogar gefährlich. Schreibt man die Redakteure dann an, damit wenigstens die gröbsten Schnitzer mal beseitigt werden, bekommt man so gut wie nie eine Antwort, geschweige denn, dass irgendwann einmal eine Korrektur erscheint. Stattdessen wird derselbe Quark immer und immer wieder breit getreten.

Ein in meinen Augen besonderes Highlight findet sich in der Ausgabe 8/04 der PC Professionell unter dem vielsagenden Titel "Mit Sicherheit schnell". Selten fanden sich so viele falsche Aussagen so gesammelt wie hier. Das ist aber nicht die Ausnahme, sondern die Regel geworden. Dass ich mir die PC Professionell herausgreife, hat nichts mit der Zeitschrift und ihrem sonstigen Niveau zu tun, sondern ausschließlich mit dem exemplarisch aufgeführten aktuellen Artikel. Vergleichbares findet sich jeden Monat in nahezu jeder anderen Zeitschrift auf dem Markt. Es fängt ja noch halbwegs sinnvoll an, indem der Leser darauf hingewiesen wird, dass es gut ist, sein System auf fehlende Patches für Windows und Office mit dem MSTool MBSA (Microsoft Security Baseline Analyzer) zu prüfen. Schade nur, dass man dabei den Hinweis auf das zuverlässigere Windows/Office Update vergessen hat. Denn der MBSA meldet in der deutschen Version leider oft Patches als fehlend, die durchaus installiert sind.

Weiter geht es aber mit der Aussage, dass ein Anwender seinen Rechner "zwangsläufig (mit) Antivirus Software, bidirektionaler Firewall und Spyblocker ausstatten" muss, da die "unidirektionale Windows Firewall alles andere als ein echter Schutz" wäre, gefolgt von dem sinnigen Rat, beim Virenscanner doch den Makro Schutz abzuschalten, wenn man nie mit Makros arbeitet und stattdessen den in Word/Excel integrierten Makro Schutz zu aktivieren.

Klasse Idee, denn wenn Karlchen Anwender ein mit Makrovirus versehenes Dokument per Mail erhält, wird er es fröhlich ausführen, egal wie viele Warnungen Word da auch immer absondert.

Und jetzt wird es "lustig": Da Sicherheitsmassnahmen Performance kosten, soll der Anwender sein System tunen. Ja, das steht wirklich da. Jetzt dürfen natürlich die obligatorischen Tuning Tipps mit einer hübschen Bewertung nicht fehlen. Dann sehen wir uns doch mal an, wie wir unsere Rechner schnell und sicher bekommen sollen. Ach, damit das richtig gewürdigt werden kann, muss man noch wissen, dass die PC Professionell die einzelnen Maßnahmen auf einen wirklich durchschnittlichen Arbeitsplatz Rechner durchgeführt wurden. Oder haben Sie etwa keinen Pentium 4, 2,6 GHt mit 2 GB RAM, 540 GB Festplatte und Asus 9800 XT Grafikkarte mit 256 MB RAM auf ihrem Schreibtisch stehen?

Ich gehe die Headlines mal Stück für Stück durch und fange mit den als sicherheitsverbessernd vorgeschlagenen Maßnahmen an:

Java Script im Browser deaktivieren. Dafür soll man im IE Active Scripting deaktivieren. Fairerweise wird darauf hingewiesen, dass dann so einige Seiten nicht mehr vernünftig dargestellt werden.

ActiveX deaktivieren: Hier vergisst man elegant den Hinweis, dass dann so gut wie kein Plugin im IE mehr läuft. Dass man beide Sicherheitslücken viel leichter bei erweiterter Funktionalität und besserer Performance durch einen Umstieg auf einen alternativen Browser wie Firefox erreicht, wird leider ebenso nicht erwähnt.

Nie ohne Virenscanner: Ich kann auf meinem Desktop PC wunderbar auf einen Virenscanner verzichten und garantiere trotzdem jederzeit für die Virenfreiheit. Ich will aber nicht für alle sprechen, von daher kann diese Empfehlung noch als akzeptabel gelten. Inakzeptabel sind aber sowohl die empfohlenen Produkte (Norton Antivirus/Panda Antivirus) als auch der Tipp, auf das standardmäßige Scannen komprimierter Dateien zu verzichten und es unbedingt manuell zu erledigen. Zum einen ist gerade Norton als die schlimmste Systembremse bekannt, zum andern ist fraglich, warum auf den On-Access Scan verzichtet werden soll, wenn man seine Zeit dafür mit dem manuellen Scannen vergeuden darf.

Firewall Extras überprüfen: Wörtliches Zitat: "Kein Online-PC darf ohne ein solches Tool genutzt werden". Mein Gott, was bin ich böse. Ich habe weder auf meinen Arbeits-PC noch auf irgendeinem PC zuhause eine Personal Firewall laufen. Ach ja, man soll in der Personal Firewall Features wie das Checken von Email deaktivieren, wenn der Virenscanner das auch kann. Oder auf den PopUp Blocker verzichten, denn wenn ein Rechner erst einmal das SP 2 für XP hat, kann dessen Aufgabe ja der PopUp Blocker des IE 6.05 übernehmen...

Kampf der Spyware: Hier werden zwei kommerzielle Produkte empfohlen, deren größter Unterschied zu der erhältlichen Freeware wie Spybot oder AdAware darin besteht, dass sie ständig im Hintergrund laufen können und damit die Installation von Spyware verhindern sollen. Genau dieses Feature soll man aber abschalten und stattdessen per Hand regelmäßig scannen, also erst dann, wenn die Spyware bereits installiert wurde. Es wäre ja noch einfacher, einen anderen Browser zu empfehlen, der gegen die ungewollte Installation von Spyware weitgehend resistent ist und darauf hinzuweisen, dass man sich doch mal die Lizenzbedingzungen einer Software durchliest, bevor man blind immer auf weiter klickt.

Alle Dateiendungen anzeigen: Ist eine der ersten Einstellungen, die ich auf allen Rechnern vornehme. Dann wird zwar immer noch nicht wirklich alles angezeigt, aber das kann man meist verschmerzen.

Knacksichere Daten: Hier wird für sensible Ordner der Einsatz von EFS unter XP Pro empfohlen. Gute Idee, aber in der Form, wie es hier gemacht wird, nur eine Arbeitsbeschaffungsmassnahme für die Hotline. Denn leider hat man den Hinweis auf das unbedingt erforderliche Exportieren des Zertifikats vergessen, ohne welches die Daten nach einer Neuinstallation oder einem Systemcrash wirklich sicher sind. Vor allen Dingen sicher vorm Anwender. Und sicher heißt bei EFS auch sicher.

Sicher löschen: Dateien sollen bei Löschung mehrfach überschrieben werden. Kann man machen, macht auf einem Einzelplatz PC allerdings nur selten Sinn. Und Freeware wie der Eraser reicht dafür voll und ganz aus.

Dual-Boot System schützt: Wovor? Als Beispiel wird Sasser aufgeführt, der ein befallenes System zu ständigen Neustarts zwingt. Man könne dann von der Zweitinstallation bequem die notwendigen Patches herunterladen. Schade, dass der Autor hier irrt. Was hilft es, eine Zweitinstallation zu haben, die ebenfalls ungepatcht ist und demzufolge in den ersten Sekunden nach einer Online-Verbindung auch herunterfährt, weil Sasser zuschlägt? Und wie installiert man die Patche auf dem bereits befallenen System, dass doch ständig herunterfährt? Besser als eine Parallelinstallation ist in den allermeisten Fällen eine mit Bart-PE Builder angefertigte Notfall CD. Daten löschen oder retten kann man damit mindestens genauso gut.

Und jetzt zu den "Tuning-Massnahmen":

XP-Optik reduzieren: Wird mit "Speedfaktor +3" bewertet. Ist dann halt nichts für die unzähligen Freunde der so beliebten XP-Themes

Bootlogo abschalten: Schade nur, dass der Tipp Blödsinn ist, denn das Bootlogo wird nicht vor dem eigentlichen Bootvorgang eingeblendet, sondern währenddessen. Ein Abschalten bringt genau null Sekunden.

Fonts ausmisten: Nicht benötigte Fonts zu löschen machte bei Win9x noch richtig Sinn. Bei XP eher weniger. Bei 2 GB RAM noch viel weniger. Ausnahme: Man ist Jäger und Sammler und installiert sich sinnloserweise 2.000 Schmuckschriften von Font Sammlungen oder Corel Draw CDs. Bei einem gewöhnlichen XP System ist es sinnfrei, in den standardmäßig installierten Schriften aufzuräumen.

Netzwerk-Connects: Man soll die Option "Automatisch nach Netzwerkordnern und Druckern suchen" deaktivieren. Kann man bei einem Einzelplatz-PC auch bedenkenlos tun.

Services optimieren: Gute Idee. Sehr gute Idee sogar. Das ist einer der sinnvollsten Vorschläge, die im ganzen Artikel gemacht werden. Ein Dienst, der nicht läuft, kann auch nicht angegriffen werden. Leider nur wird der Anwender von Autor des Artikels völlig im Dunkeln darüber gelassen, welche Dienste er denn abschalten kann und sollte. Setzt man hier auf die Experimentierfreude des Users? Will man die Hotline beschäftigt halten? Und warum findet sich das unter den performanceverbessernden Massnahmen?

Autostart Bremse: Wer mag, kann Autorun abschalten. Was das allerdings mit Performanceverbesserung oder Sicherheit zu tun hat, ist mir schleierhaft.

XP im Retro-Look: Umstellen auf Design Windows Klassisch. Wer es mag.

Datei Indizierung: Kann und sollte man tatsächlich in den meisten Fällen bedenkenlos abschalten

Swap-Datei löschen: Wieder einer der Tipps, die immer und immer wieder verbreitet werden, ohne dass sie auch nur einmal wirklich geprüft werden. Ich frage mich, von wo so etwas immer wieder abgeschrieben wird. Der im Artikel genannte Schlüssel "ClearPageFileAtShutDown" löscht eben _nicht_ die Auslagerungsdatei, sondern überschreibt lediglich den Inhalt. Damit wird also auch nicht der Defragmentierung der Auslagerungsdatei entgegengewirkt, die Performance des Rechners verbessert sich nicht, im Gegenteil, sie wird schlechter, weil der Shutdown nun weitaus länger dauert. Anzunehmen ist, dass diese Fehlinformation wohl auf einer unglücklichen Übersetzung des MS-KB Artikels 314834 (http://support.microsoft.com/default.aspx?scid=kb;EN-US;314834) basiert, in dem "clear" "Löschen" übersetzt wurde. Warum das aber keiner der Tippverbreiter mal überprüft, ist mir schleierhaft.

Performance Flaschenhälse aufspüren: Wem es Spaß macht. Empfohlen werden wieder einmal kostenpflichtige Tools wie SiSioft Sandra, Dr. Hardware etc, wo es doch Everest Home Edition (Nachfolger von AIDA32) ebenso gut kann. Und zur Aussagenkraft diverser Benchmarks äussere ich mich an dieser Stelle besser nicht.

Damit sind wir auch schon am Ende des Artikels. Jetzt mag sich aber der ein oder andere fragen, wo sie denn nun sind, die Sicherheitstipps. Ich fasse mal zusammen:

- Auf Patches prüfen
- Virenscanner und Firewall installieren
- Scripting deaktivieren
- Spyware entfernen
- Dateiendungen anzeigen
- EFS verwenden
- Dateien sicher löschen
- Dualboot System einrichten

sollen also laut PC Professionell ausreichen, um ein sicheres System zu haben? Laut diesem Artikel ja, denn die anderen Tipps sind in der Kategorie "Speed" angesiedelt.

Ich möchte als Alternative zu den im Artikel gegebenen Tipps einige Maßnahmen vorschlagen, die auch ohne "Tuningtipps" zu einem weitaus sichereren und performanteren System führen. -

Die XP-eigene Firewall auf einem Einzelplatz-Rechner auf dem externen Interface (DFÜ Verbindung) aktivieren. Dieser Paktfilter verhindert per Default zuverlässig den Zugriff von außen auf den Rechner und verzichtet dabei auf hysterisch aufpoppende Warnfenster, die auf nicht existente Angriffe hinweisen sollen. Mit dem kommenden SP2 wird die Funktionalität noch etwas erweitert; dann kann auch der Verbindungsaufbau von Anwendungen von innen nach außen gezielt erlaubt oder verboten werden. Bei vernetzen Rechner empfiehlt sich ein kleiner ISDN oder DSL Router, die Teile haben nahezu alle einen brauchbaren Paketfilter eingebaut. Oder auch ein Blick auf http://www.fli4l.de, falls ein alter Rechner vorhanden ist. -

Umstieg auf einen anderen Webbrowser und ein anderes Mailprogramm als Outlook Express. Die Lücken im IE scheinen einfach kein Ende zu nehmen und lassen sich bei noch so viel Flickschusterei seitens MS kaum in den Griff bekommen. Deaktiviert man die problematischen Features, ist der IE jedoch kaum noch zu gebrauchen. Ich empfehle derzeit immer den Firefox, da bei diesem schon einmal der problematische ActiveX Unterbau wegfällt, er sehr performant ist, einen PopUp Blocker mitbringt und gut erweiterbar ist. Außerdem bringt er keine derzeit bekannte Sicherheitslücke mit, die sich ohne Interaktion des Anwenders ausnutzen läst, wie das beim IE der Fall ist. Outlook Express setzt zum Rendering von HTML Mails voll auf den IE, sodass jede Sicherheitslücke auch auf Outlook durchschlägt, Sehr beliebt als Ersatz ist derzeit Thunderbird, das Mailprogramm des Mozilla Projektes.

Virenscanner kann und sollte man benutzen, solange man sich bewusst ist, dass diese keinen 100%igen Schutz bieten können. Jeder Depp kann sich heute dank Virenbaukasten einen Wurm zusammenbasteln, der nicht sofort von Virenscannern erkannt wird. Virenscanner können _immer_ nur bereits bekannte Bedrohungen mehr oder minder zuverlässig erkennen. Zur Vorfilterung sind sie aber durchaus sinnvoll. Hier rate ich zu AVG Free Edition, da sich dieser Scanner im Gebrauch auch als On-Access Scanner als sehr ressourcenschonend und schnell bewiesen hat und er auch in der freien Version mit einem Emailscanner ausgestattet ist. Klein, unauffällig und zuverlässig. Ganz im Gegensatz zu dem aufgeblähten Norton Antivirus, der die Performance eines Rechners massiv in den Keller treiben kann und der zusätzlich noch dadurch auffällt, dass er unter XP häufig massive Probleme verursachen kann.

Abschalten von Diensten. Das aber nicht wild und unüberlegt, sondern mit dem Ziel, möglichst wenig Angriffsfläche nach aussen hin durch unnötig laufende Dienste zu bieten. Frank Kaune hat sich vor einiger Zeit mal die Mühe gemacht, solche Dienste zu finden und eine Anleitung zur Deaktivierung zu schreiben. Basierend auf seiner inzwischen eingestellten Webseite wurde von Torsten Mann ein Script geschrieben, welches diese Änderungen komfortabel durchführen kann. Diese Script wird auch ständig weiterentwickelt, um Userfeedback oder neue Erkenntnisse einfließen zu lassen und hat sich zu einen sehr guten Werkzeug bei der Absicherung von XP Rechnern gemausert. Zu finde ist es unter http://www.ntsvcfg.de. Aber bitte nicht einfach anwenden, sondern auch die Erläuterungen dazu auf der Webseite lesen! Eine GUI-Version des Scripts findet sich bei http://www.dingens.org.

Windows Update regelmäßig besuchen sollte zum Pflichtprogramm gehören. Einmal die Woche schadet nicht und ist schnell erledigt. Zumindest die "Wichtigen Updates" sollten so schnell wie möglich nach Veröffentlichung installiert werden. Auf die angebotenen Treiber kann zumeist sehr gut verzichtet werden, da sind die Hardwarehersteller meist schneller und besser. Alternativ kann auch das automatische Windows Update aktiviert werden.

Nicht ständig als Administrator arbeiten. Was in der Unix/Linux Welt gang und gäbe ist, wird unter Windows meist sträflich vernachlässigt. Leider wird ein solches Verhalten von XP Home beim Anwender auch noch gefördert, da anscheinend Komfort über Sicherheit geht. Aber mit wenig Aufwand und ein wenig Gewöhnung kommt man schnell dazu, die normale Arbeit unter einem normalen Useraccount zu erledigen, zumal Windows endlich solche sinnvollen Werkzeuge wie "Ausführen als" mitbringt. Wer nicht ständig als Admin arbeitet, behindert damit auch recht effektiv, dass diverse Malware das gesamte System verseuchen kann.

Gehirn benutzen ist jedoch der wichtigste Tipp überhaupt :-) Wer am Rechner blind und besinnungslos auf alles klickt, was ihm so angeboten wird, dem hilft keine Sicherheitsmassnahme. Wer jede ausführbare Datei startet, die ihm per Mail zugeschickt wird, darf sich nicht wirklich darüber wundern, dass ihm früher oder später sein Rechner und seine Daten nicht mehr alleine gehören, weil sich ein netter Keylogger oder Trojaner dort breitgemacht hat. Man sollte sich bei jeder Mail mit Attachment zuerst einmal fragen, warum man diese Datei jetzt von dieser Peson bekommt. Oder warum ein Unbekannter/Bekannter jetzt ausgerechnet diesen Link geschickt hat. Oder warum Ebay plötzlich aufgrund eines vorgeblichen Datenbankcrashs mein Usernamen und Passwort wissen will. Wer zuerst denkt und dann erst klickt, gegebenenfalls auf den Löschbutton, erspart sich viel Ärger.

All diese Tipps lassen sich auf jedem Rechner kostenlos und ohne viel Aufwand in wenigen Minuten umsetzten. Oft genug ist das System dann sogar schneller und stabiler als vorher, zumindest habe ich das oft genug erlebt.

Dies könnte man noch relativ lange fortführen und wenn ich einmal viel Zeit habe, werde ich das vielleicht auch tun. Die Grundlage für den sicheren Betrieb eines Rechners ist jedoch damit gelegt. Michael H. Fischer, 05.07.2004