Weiter vorne in diesem Thread wurde die Frage gestellt, ob die Firewall von Windows ausreichend ist oder ob es sinnvoll ist, zusätzlich ein Produkt von einem Dritthersteller zu erwerben. Ich meine, dass sich Nutzer von Windows XP eine andere Firewall anschaffen sollten, während die Firewall von Vista und Windows 7 zumindest für Privatanwender und Kleinbetriebe in der Regel ausreichend ist. Die Firewall von Windows XP filtert lediglich den eingehenden Datenverkehr, während die Firewall von Vista und später auch den ausgehenden Datenverkehr überprüft. Damit wird sie zu einem vollwertigen Produkt.
Noch ein Wort zur Häufigkeit der Aktualisierung der Virensignaturen: Selbstverständlich ist es erforderlich, immer die aktuellen Signaturen auf dem Rechner zu haben. Ich halte es aber für falsch, auf diesen Wert zu starren wie das Kaninchen auf die Schlange. Viel entscheidender ist es doch, den Rechner abzusichern, bevor überhaupt ein Gedanke an den Virenscanner verschwendet werden muss. Leider machen dies viel zu wenige Benutzer, dabei ist es doch ganz einfach.
Grundsätzlich ist es nicht empfehlenswert, mit Administratorrechten zu arbeiten, wenn dies nicht absolut erforderlich ist. Bei der täglichen Arbeit stört es wirklich nicht, wenn man sich vorher einen Account mit eingeschränkten Rechten (Gruppe Benutzer) anlegt und nur mit diesem Account arbeitet. Der einzige Unterschied besteht darin, dass man in diesem Fall standardmäßig nur im Verzeichnis Benutzer\BenutzerName... sowie den darunter liegenden Schreibrechte hat, während man für den Rest der Festplatte
lediglich Leserechte besitzt (wer eine andere Festplattenaufteilung als die von Windows vorgesehene bevorzugt, kann sich selbstverständlich noch weitere Verzeichnisse freigeben und dort seine Dokumente ablegen). Weshalb dient dies der Sicherheit?
Werfen wir einen kurzen und nicht abschließenden Blick auf die Sicherheitsmechanismen von Windows. Wenn ihr euch mit Administratorrechten anmeldet, erhalten auch alle Programme, die ihr startet, Administratorrechte. Startet eure Anwendung eine weitere Anwendung, erbt auch diese die vollen Rechte... Habt ihr euch dagegen mit einem Account aus der Gruppe Benutzer angemeldet, besitzen auch die von euch aufgerufenen Anwendungen lediglich die eingeschränkten Rechte.
Sehen wir uns einfach einmal an, was eine Schadsoftware als erstes macht, wenn sie, beispielsweise als Anhang einer Mail, auf den Rechner kommt. Wie jede andere Software muss sie sich erst einmal installieren. Der Installationsprozess besteht aus mehreren Schritten:
Zunächst einmal muss die Installation gestartet werden. In der Regel passiert dies durch einen Doppelklick auf den Anhang. Und es soll mir keiner sagen, das passiert ihm nicht, irgendwann erwischt es jeden. Nach dem Start versucht die Schadsoftware, sich auf die Festplatte zu kopieren. Als Ziel wählt sie selbstverständlich nicht das Dokumentenverzeichnis, wo sie schnell entdeckt werden kann, sondern sie versteckt sich irgendwo, wo sie nicht problemlos gefunden wird (oder wisst ihr, was alles in ein Verzeichnis wie c:\windows\system gehört?). Dort kann sie aber nur mit Adminrechten erledigen.
Anschließend muss die Schadsoftware die Registry ändern, damit sie beim nächsten Rechnerstart erneut geladen wird. Wieder sind Adminrechte erforderlich.
Damit sie einen Sinn macht, muss sich die Schadsoftware mit dem Internet verbindung und weitere Inhalte nachladen. Auch das geht nur als Admin. Na ja, so geht es weiter. Ohne Administratorrechte kann die Software auf dem Rechner kaum Schaden anrichten. Ein Evangelist von Microsoft hat es in einem Vortrag einmal so ausgedrückt: "Wenn ein Hacker es schafft, diese Mechanismen auszuhebeln, dann hat er so viel Arbeit investiert, dass er sich den Zugriff auf meinen Rechner redlich verdient hat." Der Rechner ist so lange sicher, wie mit eingeschränkten Rechten gearbeitet wird.
Wer konsequent immer mit eingeschränkten arbeitet, benötigt die Adminrechte lediglich für Änderungen am System, beispielsweise für die Installation neuer Software, Änderungen an der Registry u.ä. Während dieser Zeit ist der Rechner gefährdet, während der normalen Arbeit, die schätzungsweise 98 % der Zeit in Anspruch nimmt, ist der Computer sicher.
Damit haben wir das Risiko schon einmal um 98 % reduziert. Wenn wir jetzt noch einmal bedenken, dass wir während der Arbeit mit Adminrechten aufmerksamer sind als während der normalen und täglichen Arbeit, können wir von einer Risikominimierung von mindestens 99,5 % der Zeit ausgehen.
Für das restliche halbe Prozent Risiko benötigen wir dann doch noch den Virenscanner. Aber wie groß ist das Risiko, sich in der Zeit eine absolut neue Schadsoftware einzufangen, die vom Scanner noch nicht erkannt wird?
Mir persönlich ist es lieber, ich habe sorgfältig erstellte Virensignaturen als schnelle Signaturen, die alle zwei Stunden mit der heißen Nadel gestrickt auf den Rechner kommen.
Und wieder weg
Mathias