Alte Hardware länger nutzen! Mit Linux?

Computer-Hardware möglichst lange zu nutzen ist nachhaltig. Die Fertigung neuer Komponenten und Geräte kostet Ressourcen und Energie, daher ist es meist nachhaltiger und umweltfreundlicher, alte Geräte möglichst lange zu nutzen. Doch wo sind die Grenzen, was ist mit einem alten PC oder Notebook noch möglich und welches System installiert man darauf?

Es gibt eine Menge Artikel, die sich damit beschäftigen, alte PCs mit Linux Installationen wieder flott zu machen. Nachdem Linux auf quasi allem läuft, was Nullen und Einsen verarbeiten kann und es diverse Linux Distributionen speziell für diesen Zweck gibt, liegt der Gedanke nahe. Aber solange man nicht ein altes Gerät nur für einen ganz speziellen Zweck nutzen möchte, sondern einfach als Sofa-Computer für ein wenig Internet und ein paar Programme, möchte man meist auch etwas mehr Bequemlichkeit. Und wenn der Browser zwei Tabs mit großen Webseiten anzeigen soll, braucht er dafür eine gewisse Menge Arbeitsspeicher und CPU Leistung. Damit landet man dann oft wieder bei den großen Distributionen wie Ubuntu, Mint, OpenSUSE, Debian oder anderen.

Oder ist vielleicht doch Windows eine Alternative? Oft klebt unter alten Geräten schon ein Windows 7 Key, mit dem man weiterhin problemlos und kostenlos ein Windows 10 aktivieren kann. Aber Windows ist als Ressourcenfresser verschrien und läuft doch nicht mehr wirklich gut auf alten Kisten, oder?

Nun, finden wir es mal hinaus.

Die Grenzen der Nutzbarkeit

Nicht jede alte Hardware eignet sich heute noch zu einer allgemeinen Nutzung. Es gibt gewisse Grenzen, unter denen halt wirklich nur noch spezielle Nutzungszwecke mit ebenso spezieller Software möglich sind. Als sinnvolle Minimalausstattung würde ich ein Gerät mit etwa folgenden Daten ansehen:

  • Dual-Core CPU, Intel Core 2 oder AMD Athlon mit AM3 Sockel
  • 4 GB RAM
  • Eine SSD mit 64 GB Speicherplatz

Klingt nach nicht viel. Notebooks mit dieser Ausstattung sind um 2006/2007 herum verkauft worden. Desktops mit Dual-Core Pentium 4 stammen teilweise aus 2004 / 2005. Wir sind also schon bei Hardware, die locker 13 bis 15 Jahre alt ist. Das dürfte schon unter “nachhaltig” fallen.

Damals wurden die alle natürlich meist mit lahmen Festplatten verkauft. Eine Investition von ein paar Euro in eine SSD ist meiner Meinung nach ein Muss.

So es die CPU unterstützt, sollte man generell ein 64-bit System installieren. Die großen Linux Distributionen lassen einem da teils schon gar keine Wahl mehr und bieten ihre aktuellen Versionen gar nicht mehr als 32-bit Version an. Windows gibt es auch in der Zukunft noch als 32-bit Version, aber wenn mehr als 3 GB RAM verbaut sind, möchte man diese ja auch nutzen können.

Bei verbauten 4 GB RAM sind mit einem 32-bit Windows meist nur um die 3 GB nutzbar. Das System braucht in der 64-bit Version zwar selber minimal mehr RAM, allerdings bleibt dank der vollen Nutzbarkeit der verbauten 4 GB immer noch mehr nutzbarer Speicher übrig, wenn man die 64-bit Version verwendet.

Einfach mal testen

Zum Vergleich, wie sich die “alten Kisten” denn schlagen, insbesondere unter verschiedenen Betriebssystemen, habe ich drei nahezu baugleiche Notebooks angeworfen.

 IMG_20200705_103857

  • Lenovo X61 Tablet
  • 12” Display mit Stift-Bedienung und 1024×768 Pixeln Auflösung
  • Intel Core 2 Duo L7500 mit 2x 1,6 GHz
  • Intel Onboard-Grafik
  • 4 GB RAM
  • SSD

Die Geräte stammen aus dem Jahr 2007 und die ursprüngliche verbaute Festplatte wurde jeweils gegen eine SSD ausgetauscht.

Folgende Aufgabenstellungen gab es:

  • Problemlose Installation mit Unterstützung möglichst aller Hardwarekomponenten.
  • Nutzung von Webseiten mit Firefox, Chrome oder Edge.
  • Youtube Videos ruckelfrei anschauen.
  • Zugriff auf meine Mails, Kontakte und Kalender.
  • Zugriff auf die Messenger Telegram und Skype.
  • Lokale Videos ruckelfrei anschauen.
  • Bilder, Musik und Dokumente vom Netzlaufwerk kopieren und diese dann nutzen.

All das ist kein Hexenwerk, aber natürlich komme ich aus der Windows Welt und jemand mit anderen Nutzungsszenarien wird die Aufgaben möglicherweise anders verteilen.

Und die getesteten Systeme:

  • Windows 10 Pro Version 2004, 64-bit
  • Ubuntu Linux 20.04 LTS, 64-bit
  • elementary OS 5.1.6, 64-bit

Die Wahl auf elementary OS fiel recht spontan. An sich wollte ich noch eine Linux Distribution nehmen, die nicht aus der Ubuntu-Schiene stammt. Allerdings war ich durch Zufall über elementary OS gestolpert und dachte, dass gerade dessen Schlichtheit vielleicht im Test ganz spannend sein könnte.

Installation und Hardwareunterstützung

Ich habe mir ja ein wenig Hardware ausgesucht, die etwas speziell ist. Das X61 Tablet hat ein klappbares Display mit Wacom Technologie, auf dem man mit einem Stift schreiben kann. Es ist allerdings kein Touch-Display. Eine Reihe Zusatztasten erlaubt zusätzliche Funktionen wie die manuelle Drehung des Displayinhaltes. Gleich vorab: keines der drei Systeme hat hier vollständig überzeugt. Die zusätzlichen Tasten blieben überall ohne Funktion.

An sich verläuft die Installation aller Systeme relativ problemlos. Die Installation von elementary OS findet aber keinen Datenträger, auf dem es installieren könnte. Erst nachdem vorher Partitionen mit einem anderen System angelegt wurden, konnte der Installer beim nächsten Versuch die Platte finden und die Partitionierung löschen und selber neu partitionieren. Der gleiche Effekt ließ sich mit einem testweise dazu genommenen openSUSE Leap 15.2 nachvollziehen.

Nach der Installation funktionieren nahezu alle Grundfunktionen einwandfrei. Grafiktreiber sind installiert, Sound läuft, WLAN und Netzwerk, Bluetooth, wunderbar. Unter Windows muss der Treiber für den Fingerabdruckleser manuell aus dem Windows Update Catalog nachinstalliert werden. Ubuntu erkennt den Fingerabdruckleser so, läuft bei der Einrichtung aber ständig in Timeouts. elementary OS bietet keine Konfigurationsmöglichkeiten dafür in der grafischen Oberfläche. Am Ende läuft die Anmeldung per Finger nur mit Windows sauber.

Bildschirmfoto von 2020-07-05 11-04-01

Dafür zickt unter Windows der Treiber für Intels alte 4965ABG WLAN Karte etwas. Nach einigem Hin und Her wird sie durchs Nachfolgemodell Intel 5100AGN getauscht. Bei Lenovo ist dazu die Installation eines gepatchten BIOS notwendig.

Am schnellsten startet übrigens elementary OS, mit etwas Abstand dann Ubuntu und zuletzt Windows. Der Vergleich ist allerdings etwas unfair, denn bei Windows sind automatisch im Hintergrund Skype, Telegram und der Abruf von Mails schon aktiv.

Windows benötigt mehr Platz auf der Disk, gerade im Vergleich zum schlanken elementary OS. Wer heute eine SSD kauft, wird aber eh kaum mehr Modelle unter 120 GB finden. Damit relativiert sich das schnell.

Den Stift erkennen Windows und Ubuntu auch als Stift, elementary OS offenbar nur als Maus. Unter Windows gibt es dann von Haus aus auch Funktionen wie eine automatische Erkennung von Schreibschrift. Das hat Apple fürs iPad ja gerade als revolutionäre Neuerung präsentiert. Windows  kann das seit Jahren – auf 12 Jahre alter Hardware. Eine automatische Drehung des Displays bekommt Windows hin. Klappt man das Display um, schaltet Windows die Orientierung auf Hochformat. Die beiden Linux Versionen interessieren sich nicht für die Display-Drehung.

Ab ins Internet

Alle drei Systeme kommen mit ihren Browsern ins Internet. Auf Windows wurde auf den aktuellsten Edge aktualisiert, bei elementary OS auf einen aktuellen Firefox und Ubuntu bringt diesen gleich mit. Es gibt keine Probleme, Bildfehler oder ernste Verzögerungen. Scrollen im Browser fühlt sich unter Windows minimal besser an.

Die beiden Linux Systeme kommen dabei irgendwie nie wirklich zur Ruhe. Sobald die entsprechenden Hintergrundprozesse der Messenger laufen und ein Browser offen ist, ist ständig CPU Last im zweistelligen Bereich da.

Im Leerlauf nutzen Ubuntu und besonders elementary OS ein bisschen weniger RAM, allerdings ist die Sache schnell ziemlich ausgeglichen, wenn der Browser mit zwei Tabs sowie die Messenger aktiv sind. 4 GB RAM reichen aus, sind meist zu 60 bis 70% gefüllt. Egal welches der drei Systeme genutzt wird.

Youtube auf, Video an! Überraschend problemlos spielen alle drei Maschinen ein Konzertvideo ab. Auffällig werden nur die Unterschiede bei der Auslastung. Während die beiden Linux Versionen die CPU auf Volldampf takten und zu 60 bis 90% auslasten, läuft das selbe Video in der gleichen Auflösung unter Windows bei nur 25% CPU Last. Und die CPU taktet dabei sogar noch auf 0,86 GHz runter!

 Bildschirmfoto von 2020-07-04 21-02-26 Screenshot (3)

Offensichtlich verwendet Windows selbst auf der uralten Intel Grafik noch hardwarebeschleunigtes Video-Decoding mit der GPU, während die Linux-Systeme alles auf der CPU laufen lassen. Die Info-Seiten der Webbrowser untermauern die Vermutung.

Die Benchmarks JetStream2 und Speedometer 2.0 untermauern die Beobachtung, dass das Windows System schneller ist. Während Speedometer 2.0 unter Windows 21,60 Durchläufe misst, sind es unter Ubuntu nur 18,60. Und JetStream2 landet unter Windows bei 26.119 Punkten, unter elementary OS hingegen nur bei 22.730.

Mails, Kontakte, Kalender und Messenger

Meine Mails, Kontakte und Kalenderdaten liegen auf einem Exchange Server. Das ist natürlich ein etwas unfairer Vorteil für Windows. Allerdings liegt das mit daran, dass sich bisher neben IMAP für E-Mails kein wirklicher Standard für Kalender und Kontakte überall durchgesetzt hat. CalDAV und CardDAV sind aus der Nische nicht raus, Kontakte via IMAP eine noch kleinere Nische.

Die einzig für den Laien brauchbare Lösung unter Linux heißt aktuell weiterhin Evolution. Damit ist der Zugriff problemlos möglich. Design und Bedienung sind teils etwas mit Ecken und Kanten, aber es funktioniert. Bei Windows liefern die mitgelieferten Apps alle Funktionalitäten und sind etwas leichtgewichtiger.

Skype und Telegram lassen sich unter beiden Linux Versionen nachinstallieren. Bei Ubuntu kommt beides über den eingebauten Store, bei elementary OS verwendet man für Skype das .deb Paket und installiert es an der Kommandozeile. Ob beide im Hintergrund aktiv bleiben, kann man leider nur bei Windows und Ubuntu sehen. Bei elementary OS verschwinden sie unsichtbar, sobald man das Hauptfenster schließt.

Lokale Dateien und Zugriff auf Netzwerkshares

Auch das ist natürlich für alle drei Systeme kein Problem. Bei Ubuntu richtet man Favoriten für die einmal gemounteten Netzwerkshares an und hat sie mit einem Klick wieder verbunden. elementary OS bietet so etwas nicht. Anscheinend muss man die Shares jedes Mal wieder komplett neu verbinden, was etwas nervig ist.

Screenshot (4)

Beim Kopieren hat sich der Dateimanager von elementary OS mehrfach aufgehängt. Im Hintergrund wurde zwar weiter kopiert, aber der Fortschrittsbalken samt sonstiger Oberfläche des Dateimanagers blieben bis zum Abwürgen desselben eingefroren. Insbesondere parallele Kopien scheint er nicht wirklich zu mögen.

Das Handling von Bildern, Musik und Videos ist überall einwandfrei. Alle drei Systeme bringen von Haus aus Anwendungen mit, mit denen man problemlos alle diese Dateien nutzen kann. Die reduzierte Oberfläche von elementary OS gefällt dabei sehr, wenn man sich an die Bedienung ohne Menüs gewöhnt hat. Für Nutzer von macOS dürfte die Umgewöhnung einfacher sein.

Auch hier zeigt sich wieder, dass Videos eher die Domäne von Windows sind: ein lokales Video in h.264 mit FullHD Auflösung und 30 fps wurde unter Windows völlig ruckelfrei abgespielt. Die Linux Systeme hatten da beide kein ganz flüssiges Bild. Bei einem Video mit 60 fps versagen dann aber alle. Da ist die Hardware einfach am Ende.

Bildschirmfoto von 2020-07-05 11-02-24

Fazit

Man kann auch vergleichsweise alte Hardware noch recht problemlos für viele Zwecke weiter nutzen. Es kann dabei ein Linux das Mittel der Wahl sein. Windows ist aber keineswegs abgehängt. Bei den Testaufgaben war es im Internet und bei Videos sogar merkbar schneller.

Mit etwas manueller Nacharbeit bekommt man unter den Linux-Versionen vermutlich auch Fingerabdruck und Zusatztasten dazu, den Betrieb aufzunehmen. Aber das ist dann nichts mehr für den Laien. Ohne diese Basteleien unterstützt Windows allgemein die getestete Hardware vollständiger.

Was bleibt, ist die persönliche Präferenz. Wer an sich viel mit Windows zu tun hat, sollte es auch einfach damit probieren. Die Erfahrungen sind manchmal positiver, als man es erwartet.

Veröffentlicht unter Allgemein | 5 Kommentare

Die endlose Diskussion um Antivirensoftware…

In den Foren und teils auch in der Fachpresse wird das Thema ja teilweise heiß diskutiert: reicht der Windows Defender als mitgelieferte Antivirenlösung aus oder muss es eine kostenlose oder gar kostenpflichtige Lösung eines anderen Anbieters sein? Sind Virenscanner generell “Schlangenöl”? Verursachen sie möglicherweise mehr Probleme als sie beseitigen?

Das Thema wird teilweise auf einer sehr persönlichen Ebene diskutiert und ich selber habe eigentlich keine Lust, wieder und wieder die selben Punkte durchzukauen. Daher gibt es hier jetzt die passende Zusammenfassung. Holen wir zum Anfang mal etwas aus.

Was ist ein ein Virenscanner und was kann er vom Prinzip her?

Ein Virenscanner ist ein Stück Software, welches im Hintergrund läuft und möglichst alles, was auf dem PC so vorgeht, überwachen soll. Hierbei soll dann auf verschiedene Weise festgestellt werden, ob ein ausgeführter Prozess oder eine Datei schädlich sind und die Ausführung verhindert bzw. gestoppt und die dazugehörigen Dateien unschädlich gemacht werden.

Klassisch arbeiten Virenscanner mit Virensignaturen. Der Hersteller analysiert eine Schadsoftware und verteilt an seinen Scanner ein paar Bits und Bytes, anhand dieser genau diesen Virus erkennen kann. Man sieht schon, woran das krankt: der Hersteller des Virenscanners muss zuerst die Schadsoftware mal in die Finger bekommen und zumindest automatisiert analysieren. Dann müssen diese Signaturen getestet werden und zum Kunden. Wenn man davon ausgeht, dass eine neue Schadsoftware beispielsweise als Mail-Anhang verschickt wird, ist diese Minuten nach der Erstellung beim Empfänger. Eine Virensignatur hilft hierbei also schlicht gar nichts.

Man versucht das zu beschleunigen, indem die Programme direkt beim Hersteller nachfragen. Dies wird gerne beispielsweise als “Cloud-Scan” bezeichnet. Es wird halt nicht gegen eine lokale, heruntergeladene Signatur geprüft, sondern gegen die etwas aktuelleren Signaturen des Herstellers im Netz. Auch dazu muss dieser natürlich die mögliche Schadsoftware schon mal gesehen haben, d.h. auch das ist ggfs. zu langsam.

Daher gibt es seit längerem die Heuristik. Anhand von bestimmten Merkmalen wird versucht, Schadsoftware zu erkennen, auch wenn diese bisher dem Hersteller noch nicht untergekommen ist. Mittlerweile geht die ganze Sache fließend in eine Verhaltensüberwachung über. Es wird also geschaut, was ein ausgeführter Prozess macht. Startet Word jetzt plötzlich eine Powershell, weil das ein Makro so verlangt, um dann Daten aus dem Internet herunterzuladen, ist das wohl kein normales Verhalten. Es mag legitime Gründe für so etwas geben, aber meist steckt da wohl eher Schadsoftware dahinter. Die Verhaltensüberwachung sollte jetzt hier also eingreifen. Etwas flapsig gesagt: es wird geraten, welche Dinge nun gut oder böse sind.

Kann man sich darauf verlassen?

Nein.

Ganz einfach nein. Man kann und sollte sich auf so etwas niemals verlassen! Die Hersteller, die einem Lösungen verkaufen wollen, beschreiben die Sicherheit ihrer Produkte in der Werbung so, als wäre alles super, sobald nur die gekaufte Sicherheitssuite installiert und aktualisiert ist. Nie mehr Sorgen machen, kann gar nichts mehr passieren. 100%ige Sicherheit.

Wer oben gelesen hat, muss das schon bezweifeln. Wie soll eine Kombination aus Signaturen (prinzipiell veraltet) und Verhaltensüberwachung (prinzipiell nicht genau) denn eine 100%ige Sicherheit bringen?

Wenn eine Software ausgeführt wird, die komische Dinge macht und die Verhaltensüberwachung dann irgendwann anschlägt, kann es sein, dass rechtzeitig eingegriffen und Schlimmeres verhindert wurde. Aber wurden denn auch die Dinge, die schon ausgeführt wurden, bis die Verhaltensüberwachung angeschlagen hat, wieder rückgängig gemacht? Mal angenommen, eine Software fängt an, etwas aus dem Netz nachzuladen und einen Prozess zu starten. Als nächstes ändert sie die Browser-Startseite, deaktiviert die Systemwiederherstellung und in dem Moment schlägt der Virenscanner zu. Wird die Systemwiederherstellung dann wieder aktiviert? Die heruntergeladene Datei entfernt? Was passiert, wenn vorher schon andere Systemeinstellungen verändert wurden?

Vielleicht ist es jemandem aufgefallen: ich hab noch gar nicht von bestimmten Produkten geschrieben. Die bisher genannte Problematik trifft auf all diese Software zu. Natürlich auch auf den Windows Defender. Der Defender ist kein Wundermittel. Er ist als Virenscanner genauso schlecht wie alle anderen Produkte auch.

Es ist ein prinzipielles Problem, dass solche Software nur in gewissen, engen Grenzen funktioniert. Man sollte solche Software also eher mit einem Airbag vergleichen: der verhindert nicht den Unfall. Das hätten der Fahrer, ESP, ABS und viele andere Dinge vorher machen sollen. Der Airbag sorgt dafür, dass die Sache möglicherweise glimpflich ausgeht. Ähnlich funktioniert ein Virenscanner. Er kann ältere Schadsoftware erkennen. Er kann möglicherweise neuere Schadsoftware erraten. Vielleicht ist das genau der Punkt, der dem Nutzer den A… äh… Hals rettet, wenn alle tatsächlichen Sicherheitsfunktionen vorher versagt haben. 

Ein Virenscanner ist somit nicht generell vollkommen unsinnig. Er ist auch nicht völlig unwirksam, die Bezeichnung als “Schlangenöl” also zumindest etwas übertrieben. Man sollte aber dessen doch eher enge Grenzen kennen, was er leisten kann und was nicht. Zudem sollte er nicht selber noch zum Problem werden. Beides ist nicht ganz einfach.

Software hat Fehler. Virenscanner auch.

Jede Software hat Fehler. Wenn man einen Fehler beseitigt, kann es sein, dass damit ein anderer Fehler aufgerissen wird. Das passiert. Zwei Fragen stellen sich. Einerseits nach der Schwere des Fehlers und zweitens nach dem Grund des Fehlers. Ist der Fehler so schwer, dass er ein massives Sicherheitsproblem darstellt oder ist er eher harmlos bis ärgerlich. Und entstand der Fehler, weil jemand etwas falsch gemacht bzw. übersehen hat oder weil jemand die Grundlagen nicht verstanden hat?

In diesem Artikel im Heise Newsticker wird ein schönes Beispiel von vor ein paar Jahren dokumentiert. Ein Sicherheitsforscher von Googles “Project Zero” hat sich da mehrere Komponenten von Trend Micro vorgenommen. Und wurde fündig. Nach eigenen Aussagen im Passwort Manager nach 30 Sekunden. Den angeblich besonders sicheren Browser bezeichnet er als das Lächerlichste, war er je gesehen habe, da die Komponenten veraltet und dann auch noch grundlegende Sicherheitsfunktionen des Browser-Herstellers darin abgeschaltet waren. Systeme mit der Software waren bis zur Beseitigung der Fehler sperrangelweit offen und auch nachdem die direkten Lücken beseitigt wurden, fanden sich noch diverse Punkte, die den Sicherheitsforscher ernsthaft zweifeln lassen.

In diesem Fall gab es also sowohl Programmierfehler, aber viel schlimmer, es gab massive grundsätzliche Verständnisprobleme in Sachen Sicherheit. Und das von einem Hersteller, der nichts anderes macht, als den Kunden mehr Sicherheit verkaufen zu wollen.

Auch andere Hersteller leisten sich solche massiven Patzer und auch bei anderen Herstellern fragt man sich, ob diese die Grundprinzipien von Sicherheit verstanden haben. Ist das Schlamperei oder Unverständnis?

EVay3guXQAEufd6 

Bei Bitdefender muss man sich anmelden und ein Konto erstellen. Das erstellte Passwort wird als schwach zurückgewiesen. Wenn DIESES Passwort als schwach gilt, welches Passwort ist denn dann sicher?

EVazgZlXgAE1bgV

Nun: gar keines. Löscht man das Passwort wieder aus dem Eingabefeld, wird das Passwort als sicher angezeigt. Ähem… ja. Würden sie diesen Entwicklern ihre Sicherheit anvertrauen?

Manch einer wird jetzt aufschreien und sagen, dass dies ja gar nicht immer im Virenscanner selber war, sondern teilweise in zusätzlichen Komponenten wie Passwort Manager oder “sicherem” Browser. Aber genau diese sind es ja, die oft als Grund für den Kauf kostenpflichtiger “Sicherheitssuiten” genannt werden.

Auch Microsoft hatte im Defender schon Sicherheitslücken. Das waren allerdings die “klassischen” Fehler, bei denen z.B. ein Pufferüberlauf nicht verhindert wird. Also Programmierfehler, aber keine Fehler, die auf ein grundsätzliches Unverständnis von Sicherheit schließen ließen. Zumindest wäre mir aus den letzten Jahren kein solcher Fehler bekannt.

Die Sache mit der Angriffsfläche

Die Sicherheit eines Systems hängt an der schwächsten Komponente. Es reicht eine Komponente, die möglichst tief im System hängt und möglichst viele Rechte hat, um massive Löcher in ein System zu reißen. Daher versucht man normalerweise, die Angriffsfläche so gering wie möglich zu halten.

Einfach gesagt: besteht mein System aus 100 Komponenten, habe ich mindestens 100 Möglichkeiten, es zu kompromittieren. Installiere ich zehn Komponenten dazu, habe ich 110 Möglichkeiten, es zu kompromittieren. Besteht mein System aus mehr Komponenten, erhöht sich somit die Angriffsfläche. Und erhöht sich die Angriffsfläche, sinkt dadurch die Sicherheit. Ganz automatisch und von alleine.

Nun ist nicht jede Komponente gleich gefährdet, selber zum Sicherheitsproblem zu werden. Eine Anwendung, die nur mit Rechten des Benutzers läuft und Kreise auf den Bildschirm malt, wird sich wenig dazu eignen. Es gibt aber bestimmte Stellen, wo es prinzipiell etwas gefährlicher ist. Treiber sind so eine Sache. Treiber laufen normalerweise mit den Rechten des Systems. Das System darf im Grundsatz alles. Erreicht man es also, eine Lücke in einem Treiber auszunutzen, hat man das große Los gezogen. Und was machen Virenscanner? Sie installieren genau solche Treiber, um sich möglichst tief ins System zu hängen.

Screenshot (4)

Das ist eine aktuelle kostenlose Kaspersky Version. 25 (!) Treiber wurden mit dieser zusammen installiert. Jeder einzelne davon ist ein potenzielles Angriffsziel.

Screenshot (3)

Zudem laufen vier zusätzliche Prozesse. Jeweils zwei für den Virenscanner und zwei für eine “Sichere Verbindung”. Und zwei davon laufen unter dem SYSTEM Konto. Das wären dann auch hier die bevorzugten Angriffsziele.

Durch die Installation dieser Software wurden also 29 zusätzliche potenzielle Angriffspunkte auf dem System geschaffen, die es vorher nicht gab. Davon 27 mit kritischen System-Rechten. Dafür fallen genau zwei Prozesse des Windows Defenders weg. Na holla!

Nehmen wir also mal an, in der tatsächlichen Wirkung wären Windows Defender und Kaspersky gleichauf, trägt Kaspersky trotzdem die Last der größeren Angriffsfläche. Sprich: Kaspersky müsste die Sicherheit im Vergleich massiv gegenüber dem Defender verbessern, um diese zusätzliche Angriffsfläche auszugleichen, damit die Sicherheit des Systems am Ende auf dem gleichen Level ist. Ist das überhaupt möglich?

Das unabhängige Institut AV-Test vergleicht regelmäßig diverse Virenscanner. Schaut man auf die aktuellen Ergebnisse sieht man, dass der Defender ganz knapp die volle Punktzahl verfehlt, die Kaspersky im selben Test abräumt. Gibt es also einen derartig massiven Unterschied in der Wirkung? Nein. Ganz offensichtlich nicht.

Wo verbessert nun also die nachinstallierte Software genau die Sicherheit? Man könnte ja vermuten, dass Microsoft irgendwo lasch und schlampig programmiert und die Anbieter der zusätzlichen Software dies dann viel besser können. Nun, offenbar ist es nicht ganz so. Dieser Artikel als Retrospektive zu Windows Vista hat da einen ganz interessanten Absatz:

In meiner Rolle als Sicherheitschef von Microsoft habe ich persönlich Jahre damit verbracht, Antiviren-Herstellern zu erklären, warum wir ihnen nicht länger erlauben würden, Kernel-Anweisungen und Datenstrukturen im Speicher zu „patchen“, warum dies ein Sicherheitsrisiko darstellt und warum sie in Zukunft genehmigte APIs verwenden müssen, dass wir ihre Legacy-Anwendungen nicht mehr mit Deep Hooks im Windows-Kernel unterstützen würden – der gleiche Ansatz, den Hacker benutzten, um Nutzersysteme anzugreifen.
Unsere „Freunde“, die Antiviren-Hersteller, drohten, uns im Gegenzug zu verklagen, indem sie behaupteten, wir würden ihren Lebensunterhalt blockieren und unsere Monopolmacht missbrauchen! Mit solchen Freunden, wer braucht da noch Feinde? Sie wollten einfach nur, dass ihre alten Lösungen weiter funktionieren, auch wenn das bedeutete, die Sicherheit unserer gemeinsamen Kunden zu verringern – genau das, was sie eigentlich verbessern sollten.

Hat sich das seitdem verbessert? Ich möchte dran zweifeln, wenn ich zurück denke, was für Probleme ich selber mit einer kommerziellen Antivirensoftware und manch anderen Produkten im Firmenumfeld in den letzten Jahren so gesehen habe. Oft genug musste man die Sicherheit des Systems verringern, um Funktionen der nachinstallierten Antivirensoftware nicht zu behindern.

Firewall, Kinderschutz, Webfilter, Mailfilter, Spamfilter, Sicherer Browser

In vielen Berichten liest man über den Defender als “Grundschutz”, weil er ja die ganzen zusätzlichen Funktionalitäten nicht mitbringen würde, die andere Hersteller mit ihren Sicherheitssuiten mitliefern.

Nun, alles davon, was sinnvoll ist, gibt es schon dort, wo es hingehört: entweder im System oder in den jeweiligen Anwendungen. Eine Firewall bringt Windows mit. Einen Kinderschutz bringt Windows mit. Einen Webfilter bringt Windows in Form des Smartscreen-Filters auch mit. Mail sollte beim Provider gefiltert werden, bevor sie überhaupt in mein Postfach kommt. Für Spam ist das Mailprogramm oder ebenfalls der Provider zuständig. Mailanhänge werden dann vom Defender gescannt, wenn sie auf die Disk geschrieben werden. Und an sich erwarte ich von jedem Browser, dass er im Grundsatz schon so sicher ist, dass ich damit Onlinebanking machen kann und will.

Was genau soll jetzt daran sicher sein, wenn jemand einen Firefox oder Chromium Quellcode nimmt, diesen irgendwie verändert und dann Wochen oder Monate damit zurück hängt, ihn aktuell zu halten? Wenn in Firefox oder Chromium heute Sicherheitslücken gefixt werden, dann muss der Firefox oder Chromium heute aktualisiert werden. Was genau ist sicher dran, wenn der Anbieter der Sicherheitssuite diese Änderungen erst ins eigene Produkt übernehmen und dieses updaten muss? Sobald die neue Firefox oder Chromium Version draußen ist, sind die Lücken öffentlich bekannt und können ausgenutzt werden. Und das werden sie auch!

All diese Komponenten, die viele der Suiten mitliefern, blähen das System unnötig auf. Sie sind mögliche Angriffsziele. Und natürlich können solche Funktionen auch ihrerseits zu Fehlern führen.

Wenn der Virenscanner zum Problem wird

In manchen Foren wird mittlerweile bei nahezu jeglichen Problemen vehement und quasi zuallererst dazu geraten, zuerst mal eventuell nachinstallierte “Sicherheitssoftware” zu deinstallieren. Egal ob es im Lautsprecher knackst (der Virenscanner könnte ja den Treiber stören) oder ein Windows Update einfach nicht will. Oft entsteht daraus wieder eine dieser Diskussionen, die ich mit diesem Artikel ja etwas mit Hintergrund versorgen will. Ist das sinnvoll und notwendig?

Zuerst einmal muss man dran denken, dass es momentan über eine Milliarde Windows 10 Installationen gibt. Dazu kommen noch eine Reihe älterer Windows Versionen. Die große Masse davon läuft, hat meist irgendeinen Virenscanner installiert, bekommt die monatlichen Updates – und das ganz unabhängig davon, ob der Hersteller des Virenscanners nun Avira, Kaspersky oder Microsoft heißt. Der Betrieb irgendeines Virenscanners muss also nicht grundsätzlich und immer zu Problemen führen.

Umgekehrt wird ein Schuh draus: wenn es mit einem System bestimmte Probleme gibt, dann sind vergleichsweise häufig nachinstallierte Virenscanner oder Sicherheitssuiten darin verwickelt. Typische Fehlerbilder sind Bluescreens oder diverse Probleme bei Windows Updates und Upgrades.
Auch stellen mittlerweile einige Virenscanner die Windows Firewall oder die Datenschutzeinstellungen von Windows nach ihrem Gusto ein und produzieren damit möglicherweise Probleme. Schwierigkeiten bei Netzwerkverbindungen oder seltsame Fehlermeldungen im Browser sind auch ein typisches Zeichen für Probleme, die gern aus Richtung der nachinstallierten Wächter kommen.

Auch zeigen sich gerne mal Probleme durch Virenscanner darin, dass Windows beim Start das Benutzerprofil nicht laden kann. Der Virenscanner hat die Hand auf irgendeiner Datei, die Windows grad öffnen möchte. Der Virenscanner gewinnt, Windows bekommt keinen Zugriff, der Nutzer verliert.

Genau das sind auch typische Gründe für die Problematik: alles was Windows nutzen will, muss der Virenscanner scannen. Gibt’s dabei ein Problem, bekommt das System keinen Zugriff. Und irgendwas geht dann eben nicht. Gerade bei Updates und Upgrades passieren irrsinnig viele Dinge im Hintergrund. Massen an Daten werden geschrieben, verschoben oder auch nur gelesen. Die Registry wird verändert. Zwischen all diesen Prozessen steckt der Virenscanner, der mit seiner Verhaltenserkennung (“raten”, siehe oben) entscheiden will, ob das alles grad völlig legitim ist. Nebenbei arbeitet der User auch oft noch weiter und sorgt für noch mehr Arbeit für den Virenscanner. Eine Fehlentscheidung auf dessen Seite und es knallt.

Und neue Windows Updates bringen ja gerade in Sachen Sicherheit öfter Veränderungen. Upgrades auf neue Versionen erst recht. Die Hersteller müssen die Preview-Phasen nutzen, um ihre Software anzupassen. Schaffen sie das? Sind zum Release einer neuen Windows Build schon alle Produkte darauf angepasst? Gerade Virenscanner arbeiten ja, wie wir schon bemerkt haben, sehr tief im System. Änderungen, die Microsoft im System macht, z.B. um die tatsächliche Sicherheit des Systems zu verbessern, sorgen möglicherweise für notwendige Anpassungsarbeiten in Virenscannern. Eventuell wirkt sich eine neue Sicherheitsfunktion in Windows auf irgendeine Funktion in einem Antivirus Filtertreiber aus. Wann stehen diese in angepassten Versionen zur Verfügung? Beim Defender ist das klar: mit dem Release der neuen Windows Version.

Also deinstalliert man beim Auftauchen von bestimmten Problemen die nachinstallierte “Sicherheitssoftware”. Ob man das aber nun bei wirklich jedem einzelnen Problem zuallererst empfehlen muss, das darf man schon bezweifeln. Ab einem bestimmten Punkt, bzw. bei bestimmten Problembildern ja. Wenn man bei der Fehlersuche nicht weiter kommt, sicher. Aber nicht bei jedem einzelnen Problem.

Nun hat man natürlich nicht Lust, bei all solchen Problemen jedes Mal testweise den Virenscanner zu deinstallieren und dann hinterher wieder zu installieren.
Die Lösung ist auch da einfach: deinstalliere ihn, installiere ihn nicht wieder.

Aber ich vertraue Microsoft einfach nicht!

Dann verzichte auf deren Produkte!

Es ist völlig schizophren, auf der einen Seite Windows einzusetzen, möglicherweise auch Microsoft Office und einige Microsoft Dienste und diesen quasi alles anzuvertrauen, auf der anderen Seite dann aber zu bezweifeln, dass Microsoft einen brauchbaren Virenscanner hinbekommen würde. Oder zu glauben, man müsse ja Windows einsetzen, aber irgendwie so abschotten, dass Microsoft das nicht mitbekommt.

Es gibt für manche Leute sicherlich gute Gründe, Microsoft nicht zu vertrauen. In meinen Augen gibt es stattdessen viel mehr Gründe bei manch anderen Firmen. Aber wenn man es auf die Spitze treibt, dann muss man deren Produkte halt schlicht vermeiden.

Der tschechische Anbieter Avast ist letztens negativ aufgefallen, weil er einfach mal die Kundendaten seiner Kunden an andere Anbieter verkauft hat. Ups, hat dummerweise jemand rausgefunden. War nicht so gut fürs Image und man hat die Tochterfirma, die damit Geld verdient hat, dann schnell zugemacht. Trotzdem installieren manche Leute weiter deren Software. Avast hat übrigens 1600 Mitarbeiter. Avira hat insgesamt wohl gut 500 Mitarbeiter, Kaspersky hat 3900, Trend Micro gut 5000.
Microsoft hat 150.000 Mitarbeiter. Alleine die Anzahl der Mitarbeiter, die bei Microsoft mit dem Thema Sicherheit beschäftigt sind, dürfte die Anzahl der gesamten Mitarbeiterschaft eines jeden der anderen drei Anbieter übersteigen.

Microsoft baut das Betriebssystem selber. Seit Jahren ist das Thema Sicherheit eine grundlegende Komponente bei allem, was dort entwickelt wird. Alle möglichen Sicherheitsthemen werden von Microsoft angeschoben, oft weit über das hinaus, was nur Windows selber angeht. Und gerade die sollen an einem Virenscanner scheitern?

Wie gesagt, auch die machen Fehler. Auch im Defender gab es schon Sicherheitslücken. Meiner Einschätzung nach ist die Chance dafür aber deutlich geringer als bei manchen überzüchteten Mega-Super-100%-Glücklich-Sicher-Suiten.

Was mehr kostet, muss mehr können. Oder?

Wenn gar nichts mehr hilft, kommt noch der Hinweis, dass ja Defender kostenlos sei. Die anderen Anbieter hätten auch kostenlose Lösungen und die wären immer abgespeckt. Da wäre der Defender ja auch nur abgespeckt oder so. „Grundschutz” halt.

Der Defender ist nicht kostenlos! Du hast ihn mit deiner Windows Lizenz zusammen erworben. Microsoft will dir auch keine irgendwie geartete “professionelle” Version verkaufen. Selbst im Business-Umfeld wird der Defender nicht etwa durch eine “bessere” Lösung ersetzt, sondern nur anders verwaltet und kann Informationen an ein zentrales Management berichten. Das, was Windows mitbringt, ist keine irgendwie abgespeckte Lösung, die für den anspruchslosen Privatnutzer gerade mal eben so reicht. Manch einer mag das gerne vergessen.

Fazit

Der Windows Defender ist als Virenscanner nicht nur ausreichend, sondern im Vergleich zu vielen anderen nachinstallierten Lösungen auch zu empfehlen. Nicht weil der in Sachen Sicherheit dem Rest überlegen wäre, sondern weil er selber die Sicherheit und Stabilität des Systems weniger gefährdet als der Rest.

Für die tatsächliche Sicherheit des Systems wichtiger sind regelmäßige und zügige Updates des Systems und aller verwendeter Software und Treiber. Weniger ist Mehr, die Verringerung der Angriffsfläche ein wichtiges Ziel. Also weniger unsinnige Komponenten, die installiert werden. Kritisches Nachdenken ist sinnvoll, bevor Knöpfe geklickt und Programme heruntergeladen werden. Sichere Quellen für Downloads sind sinnvoll. Eine sichere Grundkonfiguration des Systems, des Browsers und ein grundsätzlich vorsichtiges Verhalten sind wichtig.
Der Windows Defender ist dann am Ende der oben schon erwähnte Airbag, der hoffentlich nur noch zum Einsatz kommt, wenn alle Sicherheitsfunktionen inklusive des Nutzers versagt haben.

Veröffentlicht unter Allgemein | 2 Kommentare

Windows Benutzerordner verschieben–der beste Weg

Es kursieren einige teils etwas wilde Anleitungen zum Verlagern des Benutzerordners, der sich auf einem Windows System normalerweise unter C:\Benutzer befindet, auf ein anderes Laufwerk.

Vorab gesagt, man kann den kompletten Ordner \Benutzer oder den kompletten Ordner eines Benutzers darunter nicht verlagern! Oder nein, man kann es, es gibt ja Anleitungen dafür. Es ist aber von Microsoft nicht unterstützt und wird einem mit Sicherheit um die Ohren fliegen. Lasst das bleiben!

Dann gibt es noch ein paar Anleitungen, die es im Ansatz zwar richtig machen, aber bei Kleinigkeiten scheitern. Das kann dann z.B. zu einem Verlust mancher Sicherheitsfunktionen führen.

Für alle diejenigen, die ihre Ordner wie “Dokumente”, “Musik” und ähnliche Standard-Ordner ihres Benutzers von C: weg verlagern möchten oder müssen, hier daher mal eine Anleitung, wie man es meiner Meinung nach am besten macht.

Voraussetzungen

Es gibt neben der C: Partition eine oder mehrere weitere Partitionen, Festplatten, SSDs oder SD Karten. Wer in einem PC z.B. zusätzlich zur SSD mit dem System eine Festplatte verbaut hat, kann diese Anleitung nutzen. Genauso klappt es, wenn in einem Notebook oder Tablet zusätzlich zum integrierten Speicher eine SD Karte verbaut ist.

Formatierung

Und das Ziel muss mit dem NTFS Dateisystem formatiert werden. Nur das NTFS Dateisystem beherrscht Berechtigungen im Dateisystem. FAT32 und ExFAT, welche meist alternativ zur Verfügung stehen, können es nicht. ReFS aus dem Serverumfeld spielt hier keine Rolle.

Im Idealfall also bitte jetzt zuerst mal einen Rechtsklick aufs Ziellaufwerk machen, Formatieren auswählen, kontrollieren ob NTFS als Dateisystem gewählt ist und die Formatierung dann einmal durchführen. Eine Schnellformatierung ist ausreichend. Danach ist das Ziel leer und die Vorbereitungen sind abgeschlossen.

Speicherort für neue Inhalte verlagern

So sieht es typischerweise aus, der Windows Explorer zeigt das integrierte Laufwerk C: und in diesem Fall eine SD Karte mit Laufwerksbuchstaben E:. Im Beispiel ist auf C: genug Platz, aber die Installation ist auch recht frisch.

storage01

Der erste Schritt führt in die Einstellungen, das Zahnrad im Startmenü. Unter System / Speicher findet man folgenden Dialog. Hier wird aufgelistet, was sich denn auf dem Systemlaufwerk an Daten befindet.
Unten findet sich der Link zu “Speicherort für neuen Inhalt ändern”. Diesen bitte anwählen.

storage02

Unser Speicherort für neuen Inhalt zeigt alle Ordner an, die auf diese Weise verlagert werden können. “Apps” bezieht sich hier ausschließlich auf Apps und Programme, die über den Microsoft Store installiert werden. Wir konzentrieren uns heute stattdessen auf Daten und nehmen zum Test den Musik Ordner.

storage03

Einmal als Ziel unser Laufwerk E: ausgewählt, die Änderung angewendet und schon erstellt Windows am Ziel einen Ordner mit dem Benutzernamen und darin einen Ordner “Music”. Die Ordner haben standardmäßig englischsprachige Bezeichnungen. Das soll so und ist völlig in Ordnung.

So sieht es im Explorer dann aus.

storage04

Was wir jetzt gemacht haben, ist nur das Verschieben des Ziels für neue Inhalte. Alle Daten, die im Musik-Ordner auf C: lagen, wurden nicht angefasst und liegen immer noch auf C:. Dieser erste Schritt ist schlicht notwendig dafür, dass Windows die Ordnerstruktur mit den passenden Berechtigungen herstellt.

Auf den Ordner “ingo” in meinem Beispiel habe nämlich auch nur ich Zugriff und kein anderer normaler Benutzer, der auf dem PC evtl. noch ein Konto hat.

Windows hat in die Bibliothek “Musik” nun beide Ordner aufgenommen, sowohl den bisherigen auf C: und den neuen auf E:. Speichere ich etwas in “Musik”, wird es auf E: gespeichert. Vorhandene Daten von C: werden weiterhin angezeigt.

Kann man so machen, aber wir wollen ja grad Platz auf C: schaffen. Also weiter im Text.

Vorhandene Daten verlagern

Im zweiten Schritt verlagern wir tatsächlich das Ziel des Musikordners. Per Rechtsklick und im Menü Eigenschaften findet sich die Registerkarte “Pfad”.

storage05

Hier lässt sich über “Verschieben” unser Ordner Music auf E: als neues Ziel wählen. Genau das soll passieren.

storage06

Egal ob der Quellordner leer war oder schon Daten beinhaltet, ist bitte an dieser Stelle immer auszuwählen, dass vorhandene Daten verschoben werden.

storage07

Und nach dem Verschieben sieht man, dass nun unser Zielordner mit dem Notenschlüssel-Icon und dem Namen “Musik” dargestellt wird, genau wie das ursprünglich bei der Quelle mal war.

storage08

Die vorhandene Musik wurde verschoben, und alle Programme, die von sich aus auf die Windows Bibliothek Musik zugreifen, kennen den neuen Speicherort.

Diese Schritte sind jetzt für jeden der gewünschten Ordner wie “Dokumente” oder “Bilder” zu wiederholen.

Man kann in den Eigenschaften des Desktops auch diesen Pfad verlagern. Lasst es bleiben! Insbesondere, wenn das Ziel tatsächlich eine SD Karte sein sollte, ist das absolut nicht anzuraten. Das System wird dadurch langsam und es kann zu seltsamen Effekten kommen, falls das Ziel einmal nicht verfügbar ist.

Und gleich noch der Hinweis: natürlich macht man regelmäßig eine Sicherung aller wichtigen Daten. Alle Daten, die nicht gesichert sind, sind unwichtig, ansonsten gäbe es ja eine Sicherung. Eine SD Karte ist lange nicht so haltbar wie eine SSD oder Festplatte. Das sollte man zusätzlich bedenken.

Der Weg zurück?

Exakt in der gleichen Reihenfolge!
Zuerst wird in den Speichereinstellungen das Ziel für neue Inhalte wieder auf C: verlagert. Damit werden auf C: die passenden Ordner wieder angelegt. Im Explorer wird dann der Pfad mit “Wiederherstellen” an seinen ursprünglichen Ort verschoben. Dabei werden die Daten ebenfalls zurück dort hin verschoben. Und das war’s schon!

Veröffentlicht unter Allgemein | 6 Kommentare

FAQ zum Windows 7 Supportende im Januar 2020

Nach gut zehn Jahren endet am 14. Januar 2020 der Supportzeitraum für Windows 7. Dieser Artikel soll ein paar immer wieder in der Community zu dem Thema aufgetauchte Fragen und Antworten zusammenfassen.

Der Blog-Artikel findet sich als FAQ Eintrag auch direkt in den Microsoft Answers Foren und wird an beiden Stellen gepflegt.

Supportende, was heißt das?

Microsoft wird am 14.01.2020 das letzte Mal Sicherheitsupdates für Windows 7 veröffentlichen. Dies gilt für alle Windows 7 Versionen von Starter bis hin zu Ultimate. Danach wird der Support eingestellt und danach entdeckte Probleme nicht mehr behoben. Auch falls diese Probleme für die Sicherheit des Systems relevant sind, werden keine Patches mehr veröffentlicht werden.

Warum stellt Microsoft den Support einfach so ein?

Microsoft unterstützt die Windows Systeme bis einschließlich Windows 8.1 normalerweise für etwa zehn Jahre. Dies ist in der Welt der Software ein sehr langer Zeitraum, den kaum sonst ein Hersteller anbietet.

Für jedes Produkt kann man den Lebenszyklus hier nachschauen: https://support.microsoft.com/de-de/lifecycle/search

Das Supportende für Windows 7 wurde schon vor Jahren bekanntgegeben.

In der Zwischenzeit kamen mehrere neue Windows Versionen, die alle gerade auch „unter der Haube“ viele Verbesserungen mitbekommen haben, neue Hardware unterstützen, neue Sicherheitsfeatures mitbringen. Alles Dinge, die man nicht einfach so mit kleinen Updates in ein altes System integrieren könnte. Daher kann ein bestimmtes Produkt nicht einfach bis in alle Ewigkeit gepflegt werden.

Kann ich Windows 7 danach weiter verwenden?

Windows 7 wird ab dem Datum nicht den Dienst einstellen und kann auch weiter verwendet werden. Ob man das wirklich sollte, dazu weiter unten mehr.

Kann ich Windows 7 danach weiter aktivieren, wenn ich es neu installiere?

Ja. Auch ein Windows XP lässt sich heute immer noch aktivieren, insofern wird es da sicherlich in den nächsten Jahren keine Einschränkung geben.

Kann ich später weiterhin die bis Januar veröffentlichten Updates herunterladen?

Ja. Es lassen sich auch weiter die veröffentlichten Updates herunterladen und installieren. Dabei sind allerdings ein paar Hinweise zu beachten. Da alle Updates von Microsoft mit einer SHA-2 Signatur versehen sind, die Windows 7 bei seiner Veröffentlichung noch gar nicht kannte, müssen bei einer Windows 7 Neuinstallation die dafür notwendigen Updates zuerst installiert werden, bevor Windows 7 nach Updates suchen und diese installieren kann.

Folgende Updates müssen bei einer Windows 7 Neuinstallation zuerst manuell installiert werden:

https://support.microsoft.com/de-de/kb/4474419 (SHA-2 Support)
https://support.microsoft.com/de-de/kb/4490628 (Servicing Stack Update)

Es empfiehlt sich, außerdem folgendes Update dann noch manuell zu installieren:

https://support.microsoft.com/de-de/kb/3172605 (Juli 2016 Rollup Update)

Nach 10 Jahren wurden doch bestimmt alle Fehler gefunden, oder?

Wäre schön, aber so funktioniert das bei Software nicht. Innerhalb der letzten Jahre wurden viele neue Techniken zum Angriff und zur Verteidigung entwickelt. Viele der Funktionen zur Verbesserung der Sicherheit wurde nur in die Nachfolger von Windows 7 integriert, da einige Techniken grundlegende Umbauten notwendig gemacht haben. Das Sicherheitslevel von Windows 7 als solches ist also schon schlechter als das der nachfolgenden Versionen.
Und natürlich werden auch einfach noch neue Probleme gefunden, angefangen von einfachen Fehlern bis hin zu grundsätzlichen Problemen, die mehr als nur einen einfachen Fix benötigen. Solche sicherheitsrelevanten Dinge werden in unterstützten Versionen angegangen, in Windows 7 ab Januar nicht mehr.

Warum sollte denn jemand in Windows 7 nach Sicherheitsproblemen suchen?

Windows 7 wird immer noch von einer gewissen Anzahl von Nutzern verwendet und ist damit für Kriminelle weiterhin ein Ziel. Gerade da diese auch wissen, dass die Sicherheit in neueren Windows Versionen verbessert wurde, sind Nutzer von einer alten Version ein leichtes Ziel.

Dazu kommt, dass viele Komponenten von Windows ja von Version zu Version übernommen werden. Somit tauchen manche Probleme über mehrere Windows Versionen hinweg auf. Ein Fehler, der nach dem Windows 7 Supportende in Windows 8.1 und Windows 10 auftaucht, wird bei diesen Versionen gefixt werden. Die Chance dürfte groß sein, dass selbiger Fehler in Windows 7 auch vorhanden ist. Und spätestens mit der Veröffentlichung von Updates für die neueren Versionen ist der Fehler als solches bekannt.

Ich habe gehört, Microsoft verlängert den Support. Stimmt das?

Es gibt für Windows 7 auch nach Januar 2020 noch weitere Sicherheitsupdates für Firmenkunden mit Volumenlizenzverträgen. Diese müssen pro System extra bezahlt werden und werden mit der Zeit deutlich teurer.

https://support.microsoft.com/de-de/kb/4497181/

Das Angebot richtet sich nicht an Privatnutzer oder kleine Firmen.

Ich hab doch eine Sicherheitssoftware, kann ich Windows 7 dann nicht einfach weiter nutzen?

Virenscanner und andere Software, die die Sicherheit des Systems verbessern soll, läuft immer noch auf der Basis eben jenes Systems. Ein Virenscanner schließt normalerweise keine Lücken im System. Er kann keine Fehler im System beheben. Er hilft somit nicht wirklich, wenn das System nicht mehr unterstützt wird.

Ab einem gewissen Zeitpunkt werden die Hersteller von solcher Software den Support für Windows 7 auch einstellen und nur noch neuere Windows Versionen unterstützen.

Bekomme ich weiter Updates für den Virenscanner Microsoft Security Essentials?

Aktueller Stand ist, dass Microsoft auch über Januar 2020 hinaus aktuelle Signaturen für MSE liefern wird.

Wie lange dies noch passieren wird, ist aktuell nicht bekannt. Es ist zu vermuten, dass es mindestens bis zum Ende des oben genannten ESU Programmes weitere Signaturupdates geben wird.

Wie groß ist denn das Risiko, wenn ich Windows 7 einfach weiter nutze?

Schauen wir mal als Beispiel auf Windows XP. Es gibt in Windows XP mehrere mittlerweile bekannte Lücken, z.B. in der Verarbeitung von Schriftarten oder bestimmten Bildformaten. Der Besuch einer Webseite reicht aus, um das System zu kompromittieren, denn die entsprechenden Daten werden vom Browser einfach aus dem Netz geladen, um die Webseite anzuzeigen. Kriminelle müssen also nur eine passende Webseite aufsetzen und warten, bis mal jemand mit einem Windows XP vorbeischaut und haben danach einen Zombie mehr in ihrem Botnetz.
Okay, nicht jeder surft auf dubiosen Webseiten herum, aber die Kriminellen nutzen gerne auch mal Werbeanzeigen, die per Script auf solche Seiten umleiten. Die Gefahr ist also schon real. Mit Windows 7 wird es früher oder später ähnlich laufen, wenn entsprechende Lücken bekannt werden.

Wer Onlinebanking nutzt, wird von seiner Bank normalerweise darauf hingewiesen, dass das System den aktuellen Sicherheitsstandards entsprechen soll. Ein Windows 7 entspricht diesen nach Januar 2020 nicht mehr.

Der PC, der irgendwo in der Ecke steht und nur hin und wieder genutzt wird, um den alten Scanner noch verwenden zu können, für den es schon ewig keine Treiber mehr gibt, der ist im Privathaushalt sicherlich nicht das große Problem. Für die tägliche Nutzung in einem Netzwerk oder gar am Internet sollte ein Windows 7 nach Januar 2020 aber wirklich nicht mehr verwendet werden.

Kann ich weiterhin kostenlos auf Windows 10 upgraden?

Aktuell ist es weiterhin möglich, mit einem gültigen Windows 7 oder 8.x Key ein Windows 10 zu installieren und zu aktivieren. Der Windows 7 Key muss dabei ein Key sein, der z.B. auf dem COA Aufkleber auf einem PC oder einem Installationsmedium zu finden ist. Ein mit Tools ausgelesener Key funktioniert normalerweise nicht.

https://www.microsoft.com/de-de/software-download/windows10

Mit dem Media Creation Tool kann ein Installationsmedium erstellt werden. Die Installation findet dann statt, indem von diesem Medium gebootet wird. Es bietet sich generell an, kein Upgrade zu versuchen, sondern eine saubere Neuinstallation durchzuführen. Nur in diesem Fall hat man einen sauberen, frischen Stand und schleppt keine „Altlasten“ in die neue Installation mit, die möglicherweise hinterher Probleme machen.

Weitere Links

Offizielle FAQ von Microsoft zum Windows 7 Supportende:

https://support.microsoft.com/de-de/kb/4057281/

Veröffentlicht unter Allgemein | Kommentar hinterlassen

iPhone geklaut und dann noch betrogen werden? Willkommen bei apple-live.com!

Es ist schon ärgerlich genug, wenn einem das Handy geklaut wird. Allerdings ist das heutzutage für die Diebe zunehmend schwer, etwas mit geklauten Geräten anzufangen.
Ein gestohlenes iPhone ist für den Dieb nichts wert, da er es ohne Zugriff auf den iCloud Account nicht zurückgesetzt bekommt und somit nicht anderweitig verwenden kann.

Nun dachten sich ein paar Kriminelle wohl „hold my beer“ und haben eine Lösung überlegt: sie versuchen anhand der Infos des gestohlenen iPhones gleich noch den Zugang zum Apple Account hinterher abzuphishen.

Das gestohlene iPhone 8 Plus aus dem Beispiel wurde gesperrt und es wurde dabei eine Handynummer angegeben, unter der sich ein ehrlicher Finder (haha) melden könnte. Und dann dauert es nicht lange und es kommen bei der angegebenen Handynummer SMS an…

Aha? Also das Gerät wurde gefunden und die Position kann angezeigt werden. Die IMEI Nummer ist korrekt und das Handy-Modell auch. Na wunderbar, danke, „Apple Support“!

Nachdem nicht sofort reagiert wurde, fängt der „Apple Support“ dann etwas zu drängeln an. Angeblich nur noch acht Stunden sei die Position verfügbar. Man solle doch endlich mal zu Potte kommen. Okay, also schnell auf die Seite geschaut…

…und die Anmeldedaten für den Apple Account angegeben. Und dann ist das Handy wirklich weg. Denn diese apple-live.com Seite ist eine Phishing-Seite, der es nur darum geht, die Anmeldedaten der Nutzer von geklauten iPhones abzuphishen. Die Diebe können sich dann bequem im Account anmelden, das gestohlene Gerät daraus löschen, es zurücksetzen und dann weiterverkaufen.

Wenn die Hersteller die Sicherheit der Geräte verbessern, kommen Kriminelle auf ganz neue Ideen. Also aufgepasst!

Die Seite ist übrigens in Vietnam gehostet, über einen Anonymisierungsdienst in Bulgarien wird der Besitzer verschleiert und passenderweise erkennt Google sie noch nicht als Phishing-Seite. Immerhin Microsofts Smartscreen Filter meldet beim Besuch sofort, dass es sich um Phishing handelt.

Veröffentlicht unter Allgemein | Kommentar hinterlassen

Microsoft Lizenzen aus dem Supermarkt?

Aktuell wird in den Medien berichtet, dass die Supermarktkette
EDEKA Lizenzen für verschiedene Microsoft Produkte anbietet, beispielsweise für
verschiedene Windows- oder Office-Versionen. Man kauft bei EDEKA eine Guthabenkarte, die man dann beim Online-Händler Lizengo einlösen kann. Dieser stellt einem dann einen Key und den Download der Software bereit.
 
Die Preise dieser Angebote bewegen sich deutlich unter den normalen Preisen, die Microsoft selber oder viele andere Händler für Lizenzen
der Produkte aufrufen, allerdings leicht über den Preisen dubioser Key-Anbieter
im Internet.

Berichtet hatten über diese Lizenzen unter anderem die Zeitschrift c’t auf ihrer Webseite als auch Martin „Dr. Windows“ Geuß . In beiden Fällen ist man eher zurückhaltend, was die Beurteilung der Legalität der verkauften Produkte angeht.

Bei Heise weist man deutlich drauf hin, den Kassenbon aufzubewahren, um zumindest den Kauf nachweisen zu können und ggfs. gegenüber EDEKA oder Lizengo einen plötzlich nicht mehr funktionierenden Key reklamieren zu können.
Martin Geuß rät deutlich davon ab, einen solchen Key zu kaufen.

Der Händler Lizengo schreibt auf seiner Webseite über die Preise „Wir kaufen bei vielen Distributoren hohe Stückzahlen von neuen Produktschlüsseln auf, welche nicht verwendet oder installiert wurden.“ Gegenüber c’t teilte man wohl auch mit, dass es sich um Überbestände von Microsoft Kunden handeln würde.

Ein seltsamer Beigeschmack verbleibt dabei auf jeden Fall. So verkauft Lizengo u.a. auch Softwarepakete, die man gar nicht einzeln ohne einen entsprechenden Volumenlizenzvertrag bekommt. Ein Office ProPlus oder ein Exchange 2019 bekommt man schlicht nicht einzeln als normaler Kunde.

Die Quelle der Keys bleibt zudem im Dunklen. Es handelt sich immerhin um digitale Waren. Es gibt keinen Grund, sich so etwas als Distributor „aufs Lager“ zu legen und auch Firmen kaufen nicht mal eben ein paar tausend Windows 10 Home Lizenzen auf Vorrat, um sie dann nachher mit großem Verlust an einen Online-Händler abzugeben.

Es handelt sich zudem nicht um alte Produkte wie Windows 7, sondern um aktuelle
Produkte. Und dass so viele IT-Distributoren in die Insolvenz geschliddert
wären, deren Lagerbestände hier verkauft werden könnten, ist ebenfalls nicht
der Fall.

Die Herkunft der Keys bleibt somit unklar. Die angeblich zu viel gekauften Produkte sind als Quelle allerdings nicht glaubwürdig. Wer sich
solch einen Key zulegt, muss davon ausgehen, dass dieser früher oder später
nicht mehr funktioniert. Ansprechpartner ist dann EDEKA, die sicherlich direkt
auf Lizengo verweisen würden.

Und am Ende kommt natürlich auch noch dazu, dass ein Product-Key
alleine nicht unbedingt eine Lizenz darstellt. Im Ernstfall besitzt man einen
Key, aber hat damit trotzdem nicht das Nutzungsrecht an der Software erworben.

Insofern kann von dem Kauf solcher verdächtig billiger Keys
schlicht nur abgeraten werden.

Eine offizielle, eindeutige Aussage von Microsoft zu der Thematik von Seiten Microsofts gibt es bisher leider nicht.

Veröffentlicht unter Allgemein | 1 Kommentar

Windows 10 braucht jetzt angeblich 32 GB Speicherplatz!

Aktuell gehen mal wieder Artikel durchs Netz, die eine völlig harmlose Änderung auf einer Microsoft Webseite als Aufhänger nehmen, um sinnlos Schlagzeilen zu generieren.

Microsoft hat eine Webseite, die sich an Hersteller von Geräten richtet, welche auf diesen Geräten dann Windows vorinstallieren wollen. Auf dieser Seite werden den Herstellern verschiedene Vorgaben gemacht, wie Hardware auszusehen hat, damit Windows darauf problemlos läuft.

https://docs.microsoft.com/en-us/windows-hardware/design/minimum/minimum-hardware-requirements-overview

Dort steht dann zum Beispiel, was eine CPU für Befehle beherrschen muss, wie viel Arbeitsspeicher ein Gerät haben muss oder wie groß der Festplattenspeicher sein muss. Und bei letzterem gab es tatsächlich eine Änderung.

Bisher hieß es, dass für die Installation von Windows 10 32-bit ein Gerät mit einem Speichermedium mit mindestens 16 GB ausgerüstet werden muss. Für ein Windows 10 64-bit wurden mindestens 32 GB genannt. Mit der Version 1903 hat man dies jetzt angepasst und gibt für 32- und 64-bit Windows die 32 GB als minimale Größe für den Gerätespeicher an.

Anmerkung 2019-04-26 153111

Was heißt das nun konkret? Eigentlich nur eines: Geräte, die mit Windows 10 Version 1903 vorinstalliert auf den Markt kommen werden, haben immer mindestens 32 GB verbauten Festspeicher – heutzutage ja meist in Form von Flash-Speicher.

Das ist alles. Mehr heißt das nicht. An den tatsächlichen Anforderungen des Systems ändert sich technisch zuerst einmal gar nichts, zumindest nicht für existierende Geräte. Windows 10 wird also auch in Version 1903 nach dem Upgrade nicht plötzlich massiv mehr Speicherplatz erfordern.

Auch heißt das nicht, dass Geräte mit nur 16 GB plötzlich von Updates abgeschnitten werden. Nur waren 16 GB Speicher für ein Windows Gerät eh schon sehr, sehr, sehr knapp und arg kostenoptimiert. Nur mit sehr viel Disziplin kann man auf solch einem Gerät ein Windows System betreiben und auch problemlos updaten und upgraden. Das wird auch weiterhin wie bisher möglich sein.

Nur für die PC-Hersteller fällt ein Punkt weg, an dem man auf Kosten der Funktionalität die Kosten des Gerätes noch um ein paar Cent drücken konnte. Also insgesamt eine für den Kunden nur positive Sache.

Auf vielen Seiten klingt es leider mal wieder anders und die Kommentare der Nutzer zeigen, dass kaum eine Seite mal richtig erklärt, an wen sich diese Systemanforderungen richten, nämlich eben nicht an den Endnutzer.

Veröffentlicht unter Allgemein | 2 Kommentare

Aus aktuellem Anlass…

Save the Internet

Das Internet ist durch Artikel 13 in Gefahr!

Es ist erschreckend, wie sich Politiker ohne Hintergrundwissen von einer Lobbygruppe der Verwertungsindustrie vor sich her treiben lassen.

Am Samstag, den 23.03.2019 finden europaweit Demonstrationen gegen die EU Urheberrechtsreform und speziell deren Artikel 11 und 13 statt. Wer die Möglichkeit hat und eine Demo in der Nähe, der sollte sich die Zeit nehmen, um gegen die Umsetzung dieses Projektes zu protestieren.
https://savetheinternet.info/

Hintergrund-Details von Sascha Lobo auf Spiegel Online:
http://spiegel.de/article.do?id=1258790

Die Europa-Wahl steht Ende Mai 2019 vor der Tür. Wählen gehen ist wichtig und notwendig. Nur wer wählt, kann etwas ändern. Und wer wählen geht, sollte sich vorher informieren, bevor man die falschen Kreuze auf dem Wahlzettel setzt:
https://pledge2019.eu/de

 

Veröffentlicht unter Allgemein | Kommentar hinterlassen

Die Sicherheitslücke der zwei fehlenden Anführungszeichen

Zu historischen DOS Zeiten war die Länge von Dateinamen auf acht Zeichen plus drei Zeichen Erweiterung beschränkt. Auch waren keine Leerzeichen im Dateinamen erlaubt. Manche Programmierer haben es bis heute nicht verinnerlicht, dass seit Windows 95 bzw. NT4 diese Beschränkung nicht mehr gilt.

Heutzutage verwendet Windows sogar standardmäßig in diversen Pfadnamen Leerzeichen, z.B. heißt der Programme-Ordner im Dateisystem tatsächlich “Program Files”. Technisch ist dies an sich kein Problem. Es ergibt sich daraus aber eine kleine Falle.

Ebenfalls zu DOS Zeiten leitete ein Leerzeichen nach einem Dateinamen zu eventuell anzugebenden Parametern über. Das System erwartet somit eigentlich nicht, dass nach einem Leerzeichen der Name eines Ordners oder Programmes weitergeht. Um dem System dies zu sagen, ist der Pfad in Anführungszeichen einzuschließen.

“C:\Program Files\7-zip\7z.exe”
beispielsweise startet als Befehl die Kommandozeilenversion des Packers 7-zip.

C:\Program Files\7-zip\7z.exe
hingegen führt zur Fehlermeldung

Der Befehl „c:\Program“ ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

Es wird also statt des Ordners “Program Files” ein Programm namens “Program” gesucht.

Rufe ich an der Kommandozeile aus einem Ordner unterhalb von “Program Files” ein Programm auf und nutze dafür die automatische Vervollständigung, baut Windows automatisch den gesamten Pfad in Anführungszeichen und ruft das Programm richtig auf.

Stelle ich jetzt im Laufwerk C:\ eine Datei namens Program.exe bereit, würde statt meines Packers 7-Zip dieses Programm aufgerufen. Nicht unbedingt das, was ich gerne möchte. Nun ist C:\ nicht von jedem Nutzer beschreibbar. Um dort hin eine Program.exe zu schreiben braucht man zumindest Adminrechte.

Allerdings taucht das Phänomen natürlich auf allen Laufwerken auf. Wer auf D:\ ein Spiel in einen Ordner “Mein Spiel” installieren würde und dieses dann mit einem Befehl ohne Anführungszeichen starten wollen würde, würde eine Mein.exe in D:\ starten – und dort könnte sie jeder Benutzer deponieren.

Nun ruft man doch eher selten Programme per Kommandozeile auf und wenn, ergänzt diese meist ja automatisch die Pfade. Allerdings gibt es eine andere Stelle, an der die Sache zum Problem werden kann: die Registry.

Windows führt viele Dienste standardmäßig mit den Rechten “Lokales System” aus. Sie laufen also mit den Berechtigungen des Systems selber – und haben damit grundsätzlich mehr Berechtigungen als z.B. ein Administrator.

So sieht das in der Liste der Dienste zum Beispiel aus:

Anmerkung 2019-03-21 190701

Die Dienste finden sich in der Registry im Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services jeweils mit einem eigenen Unterschlüssel, in dem definiert wird, ob der Dienst automatisch gestartet wird, mit welchem Benutzer er sich anmelden soll und natürlich, welches ausführbare Programm denn gestartet werden soll.

Das kann dann zum Beispiel so aussehen:

Anmerkung 2019-03-21 190748

In diesem Fall hat ASUS alles richtig gemacht. Der ASUS Dienst “asComSvc” ist zwar unterhalb von “Program Files” installiert, der Pfad wird aber sauber mit Anführungszeichen versehen. Windows startet hier also beim Laden auf jeden Fall die richtige Programmdatei.

Oft genug wird es aber falsch gemacht und der ImagePath verweist ohne Anführungszeichen auf ein Programm. Und damit wird, wie im Beispiel meiner Kommandozeile oben, dann ggfs. ein ganz anderes Programm gestartet, nämlich C:\Program.exe, so jemand diese Datei dort platziert hat.

Kopiere ich also jetzt eine notepad.exe als program.exe auf C:\ und starte das System neu, wird meine notepad.exe mit Systemrechten ausgeführt. Und das ist dann eine Sicherheitslücke, denn damit habe ich es geschafft, von Adminrechten zu Systemrechten zu kommen, einfach nur durch Kopieren einer Datei. So etwas ist eine – noch vergleichsweise harmlose – “Privilege Escalation” Lücke.

Es gibt allerdings auch Situationen, in denen die Sache weniger harmlos wird. Denn nicht immer betrifft es das Verzeichnis “Program Files” selber. Der Hersteller einer Software könnte ja auch beispielsweise “C:\Program Files\Hersteller\Meine Software\dienst.exe“ ausführen wollen. Und es gibt sogar Hersteller, die es in so einem Beispiel schaffen, unterhalb des “Hersteller” Ordners die Berechtigungen so zu setzen, dass Benutzer Schreibzugriff bekommen.
Damit hätte man dann ein massives Loch gerissen, denn dann würde ein normaler Benutzer ohne Adminrechte mit einem einfachen Kopiervorgang und einem Neustart volle Systemrechte erlangen können.

Da man solche – in diesem Fall konstruierten – Situationen nicht wirklich abschätzen kann, ist es schlichtweg notwendig, beim Laden von Diensten grundsätzlich diese auch in Anführungszeichen zu setzen.

Eher durch Zufall bin ich Ende 2018 darauf gestoßen, dass der Treiber für das Synaptics Touchpad meines Lenovo Notebooks genau für solch ein Problem anfällig ist. Das Problem wurde an Lenovo gemeldet und entsprechend von Lenovo bzw. Synaptics beseitigt. Auch wenn es in dem Fall nur die Variante war, bei dem man sich vom Administrator zu Systemrechten verhelfen konnte.

https://support.lenovo.com/de/de/product_security/len-24573

Von der Meldung bis zum Advisory bei Lenovo vergingen gute sechs Wochen. Und die aktuelle Treiberversion verwendet dann brav die Anführungszeichen in der Registry, die solch einen Unterschied machen können.

Selber scannen kann man so etwas übrigens schon über die für private Nutzung kostenlosen Home Version des Sicherheitsscanners Nessus. Mit der kommerziellen Pro Version natürlich ebenfalls…

https://www.tenable.com/products/nessus-home

Anmerkung 2019-03-21 190640

Nessus war es dann auch, der mich vor längerem mal drauf hinwies, dass eine “Sicherheitssoftware” in ihrem Installationspfad die Berechtigungen auf “Jeder, Vollzugriff” setzte und in selbigem Pfad auch die Dateien der Systemdienste des Programmes zu finden waren. Aber das ist dann eine andere Geschichte.

Veröffentlicht unter Allgemein | Kommentar hinterlassen

Tempolimit ohne Sommerloch

Normalerweise habe ich im Blog ja eher technische Themen aus Richtung IT, meist mit Thema Windows. Heute soll es mal um ein ganz anderes Thema gehen.

Das Thema “Tempolimit auf deutschen Autobahnen” war in den letzten Jahren und Jahrzehnten immer mal wieder ein Sommerloch-Thema. Wenn man gar nichts mehr zu schreiben hatte, brachte bestimmt irgendjemand die Thematik Tempolimit wieder ans Tageslicht – meist aus zwei verschiedenen Gründen: Sicherheit und Umweltschutz.

Schnell kochen beiderseits die Emotionen hoch und die Ablehnung des Tempolimits wird von den Befürwortern gerne mit der Situation des Waffenrechts in den USA verglichen. Eine Einschränkung der Rechte und Freiheiten von Menschen sollte immer wohl überlegt sein, egal um welche Thematik es nun geht.
Wenn man etwas einschränken will, soll dies ja positive Auswirkungen haben. Bei den Waffen wäre die gewünschte Auswirkung, dass es weniger Tote durch Schusswaffengebrauch geben sollte. Bei einem kurzen Vergleich der USA mit anderen Ländern ist die Behauptung nachvollziehbar. Überall dort, wo es ein scharfes Waffenrecht gibt, liegt die Anzahl an Verbrechen mit Schusswaffen massiv niedriger. Die Einschränkung der Menschen in der Freiheit, Waffen zu besitzen und zu tragen, dürfte in dem Fall also gerechtfertigt sein.

Aber es soll ja ums Tempolimit gehen. Und somit wäre die Frage, welche deutlichen Verbesserungen man durch solch ein Limit erwarten kann, die die Einschränkungen rechtfertigen würden.

Sicherheit

Aktuelle Zahlen zur Sicherheit auf den Straßen gibt es bei der WHO. Hier werden allerdings nicht nur Autobahnen erfasst, sondern das gesamte Straßennetz.

Ein allgemeines Tempolimit, auch auf Autobahnen, müsste sich eigentlich trotzdem insgesamt positiv bemerkbar machen. Vergleicht man mit unseren Nachbarn, insbesondere mit Ländern ähnlicher Größe, ergibt sich ein anderes Bild.

Angegeben werden Tote pro 100.000 Einwohner.

Deutschland 4,1
Frankreich 5,1
Belgien 5,8
Polen 9,7
Österreich 5,2
Tschechien 5,9
Niederlande 3,8
Schweiz 2,7
Luxemburg 6,3
Dänemark 4,0

Alle Länder um uns herum haben ein Tempolimit. Trotzdem sind die Zahlen der Verkehrstoten ist den meisten dieser Länder deutlich höher, in manchen ähnlich und nur ein einziges Land, die Schweiz, liegt deutlich darunter.

Schauen wir mal auf die konkreten Zahlen für Deutschland. Die für 2018 sind noch nicht verfügbar, aber die Zahlen für 2017 sind schon schön aufbereitet zu finden. Demnach gab es auf deutschen Autobahnen insgesamt 409 Verkehrstote. Geht es ums Tempolimit, können wir getötete LKW-Fahrer außen vor lassen und konzentrieren uns auf die PKW Fahrer. 215 Menschen sind dies, die im Pkw auf Autobahnen in Deutschland 2017 ums Leben kamen.

Es finden sich nirgendwo Informationen darüber, welche dieser Unfälle bei einem Tempo über 130 km/h stattfanden. Auch geben die Daten nicht her, welche Unfälle bei einem Tempolimit hätten vermieden oder wo die Auswirkungen verringert hätten verringert werden können.
Die Daten geben allerdings her, dass die Anzahl der getöteten Autofahrer von 1991 bis 2017 überdurchschnittlich gesunken ist. Trotz einer teils massiven Zunahme des Verkehrs.

Bei 24% der getöteten Autofahrer insgesamt stand nicht angepasste Geschwindigkeit als Grund fest. Allerdings findet sich hier keine Abstufung nach Straßentyp. Da die Unfallhäufigkeit auf Autobahnen weit geringer ist als auf z.B. Landstraßen, wird die Verteilung hier deutlich unterschiedlich sein.

“Nicht angepasste Geschwindigkeit” kann auch bedeuten, dass jemand bei Regen 100 fuhr und das eben für die Menge an Wasser auf der Straße zu schnell war. Allerdings lässt sich nicht aus den Zahlen lesen, wo “nicht angepasste Geschwindigekeit” tatsächlich hießt, dass das Tempo über 130 km/h lag und dann der Situation eben nicht angepasst war. Bleiben wir also mal bei diesen 24%.

Etwa 40% der deutschen Autobahnstrecken sind momentan schon mit einem Tempolimit versehen. Von den 215 Toten insgesamt sind also zumindest ein Teil davon auf Strecken ums Leben gekommen, auf denen bereits ein Limit herrscht.

Gehen wir zugunsten der Tempolimit-Befürworter davon aus, dass eine Autobahn ohne Tempolimit zu mehr Toten führt, sind wir bei etwa 160 Toten auf unbeschränkten Autobahnen. Allerdings lässt sich wie oben schon erwähnt immer noch nirgendwo herauslesen, wie viele dieser Toten durch ein Tempolimit (und vor allem auch dessen Einhaltung) vermieden worden wären.
Wenn man von einem Viertel ausgeht (die 24% der Toten durch “nicht angepasste Geschwindigkeit”), wäre man bei 40 Toten. Wie gesagt, da ist auch noch derjenige dabei, der bei Regen 100 fuhr. Die reale Zahl müsste also noch deutlich darunter liegen

40 Tote von insgesamt 3180 Verkehrstoten in Deutschland, die möglicherweise durch ein Tempolimit vermieden worden wären. Das wären am Ende 1,2%.

Geht man zugunsten der Tempolimit-Gegner davon aus, dass sich die Unfälle gleichmäßig über die limitierten und nicht limitierten Strecken verteilen, bleiben 129 Tote für die nicht beschränkten Strecken übrig. Auch hier nehmen wir dann wieder das knappe Viertel der Unfälle durch nicht angepasste Geschwindigkeit und kommen auf 32 Tote.

32 Tote von insgesamt 3180 Verkehrstoten in Deutschland wären dann 1%.

Und auch hier ist wieder derjenige dabei, der bei Regen mit Tempo 100 verunglückte, denn unsere Datenbasis ist ja weiterhin “nicht angepasste Geschwindigkeit”. Die realen Zahlen der Unfalltoten bei Tempo über 130 km/h liegen also auch hier sicherlich noch mal darunter.

Ich würde mal sagen: der Effekt des Tempolimits auf die Anzahl der Verkehrstoten wäre minimal. Die statistische Schwankung dürfte schon fast höher sein. Eine geringe Senkung könnte man vielleicht erhoffen. Signifikante Auswirkungen auf die Anzahl der Verkehrstoten wären durch ein allgemeines Tempolimit schlicht nicht zu erwarten.

Umwelt

Ein Auto, welches schneller fährt, braucht mehr Sprit. Damit stößt es mehr Abgase aus. Das sind relativ einfache Fakten, die wohl niemand bezweifelt.

Wie oben schon beschrieben sind etwa 60% der deutschen Autobahnen unbeschränkt. Das heißt allerdings nicht, dass man dort auch tatsächlich schneller als 130 km/h fahren kann bzw. dass die Masse der Autofahrer dies auch tut.
Dichter Verkehr, Wetterlage, persönliche Befindlichkeiten – viele Gründe führen dazu, es langsamer angehen zu lassen.

Ein Auto, welches mehr wiegt und größer ist, braucht ebenfalls mehr Sprit. Damit stößt es mehr Abgase aus. Auch das sind relativ einfache Fakten, die ebenfalls niemand bezweifeln dürfte.

Im Prinzip sagt man den Käufern sparsamer, sauberer Autos damit “haha, die Dreckschleuder neben dir darf zwar nicht mehr schneller fahren, aber das Doppelte verbrauchen!”.

Statt Größe oder Verbrauch zu limitieren oder entsprechend zu sanktionieren, versucht man es aber quasi ausschließlich übers Tempo. Es gibt somit gar keinen Ansatz zu umweltfreundlicheren Fahrzeugen. Denn nur wegen eines Tempolimits kauft ja nicht plötzlich die Masse der Menschen keine zu großen und zu schweren Fahrzeuge mit viel zu viel Leistung und Verbrauch mehr. Das Beispiel USA zeigt es immer wieder.

Würde man tatsächlich die Leute zur Verbrauchsreduktion drängen wollen, gibt es andere, weit sinnvollere Mittel dafür. Die Steuern auf Sprit wären eine Variante. Vielleicht fahren dann auch noch ein paar Leute freiwillig langsamer.

Die Luftqualität insgesamt nimmt übrigens immer mehr zu. Die Messungen von Luftschadstoffen gehen laut Umweltbundesamt seit Jahren deutlich nach unten. Ganz ohne allgemeines Tempolimit.

Ein Tempolimit würde wenig bewirken, wenn auf der anderen Seite Autos immer größer und schwerer werden und auf der anderen Seite die Luft sowieso immer besser.
Merkbare Verbesserungen der Luftqualität durch das Limit, die über die allgemeinen Verbesserungen hinaus gehen, sind damit nicht zu erwarten.

Kommt man nach Deutschland, herrscht Chaos…oder?

Gerne wird in allen möglichen Diskussionen von vielen Leuten ein Vergleich gezogen zwischen deutschen Autobahnen und dem Fahren im benachbarten oder auch ferneren Ausland. Da kommen dann Aussagen, die von der letzten Urlaubsreise berichten, bei der man außerhalb Deutschlands so schön ruhig fahren konnte, aber hier quasi im Straßenkampf gelandet sei.

Ich bin in den letzten Jahren in verschiedenen europäischen Ländern sowie in den USA und Asien teils selber gefahren, teils mit anderen Leuten mitgefahren. Das Autofahren in manchen Ländern war dabei deutlich entspannender als in Deutschland, in anderen allerdings auch deutlich nerviger.

In keinem der Länder hat dazu das Tempolimit beigetragen. Wenn es woanders angenehmer zu fahren war, dann normalerweise schlichtweg, weil dort weniger Verkehr herrschte. Sobald die Verkehrsmenge anstieg, wurde es stressiger. Exakt wie in Deutschland auch.

Da wird in den Niederlanden genauso gedrängelt wie hier, da wird in Polen genauso das Tempolimit massiv überschritten. In den USA ebenfalls. Und in Taiwan fährt man eh nach der Devise “Oh, da will jemand einscheren, ich mach mal schnell die Lücke zu!”. Vielleicht nimmt manch einer all das im Ausland als weniger stressig wahr, weil viele sich dort grad im Urlaub befinden.

Eine wenig befahrene Autobahn in Deutschland ist aber ansonsten nicht schlimmer als eine wenig befahrene Autobahn in beispielsweise Dänemark.

Persönlich

Ich fahre Audi A2. 75 PS Benziner. Aus der Generation, die noch keinen Feinstaub bei der Verbrennung produziert. Relativ leicht, relativ sparsam. Auf der Autobahn dank des geringen Gewichts und des geringen Luftwiderstandes vergleichsweise schnell. Auch bei kilometerlangen Bleifußtouren beim Verbrauch nicht über die 9 Liter/100 km zu bringen.

Normalerweise fahre ich auf längeren Strecken nicht schneller als 140. Das Auto wird laut und ich habe es privat auch selten so eilig, dass es unbedingt schneller sein muss. Allerdings gibt es Tage oder Strecken, bei denen ich mal zügiger unterwegs sein möchte.

Selbst die 130 oder 140 fahre ich allerdings viel lieber auf einer unbeschränkten Strecke. Auf einer Strecke mit Tempolimit müsste ich zusätzlich zum normalen Verkehrsgeschehen, Straßen- und Wetterverhältnissen auch immer peinlich genau aufs Tempolimit achten. Ohne Tempolimit fällt schlicht ein Punkt weg, auf den man aufpassen muss.
Fährt man zwischenzeitlich für ein paar Kilometer etwas schneller, weil es so schön bergab geht, die Strecke leer ist und trocken dazu, ist es ohne Limit kein Thema, wenn dann doch 150 km/h auf dem Tacho stehen, auch wenn man eigentlich nur 130 fahren wollte. Auf limitierten Strecken kann so etwas schnell teuer werden.

Höheres Tempo fordert zudem eine höhere Anspannung. Nimmt man ein modernes, bequemes Auto mit Tempomat und ein Tempo von nur 130 oder noch weniger auf der Autobahn, steigt bei vielen Autofahrern sicherlich die Gefahr der Unaufmerksamkeit.
Die Folgen sieht man aktuell schon bei vielen LKW-Unfällen. Wer stundenlang mit geringer Geschwindigkeit durch die Lande zockelt, schaut nebenbei TV, schneidet sich die Fußnägel oder ist sonstwie abgelenkt. Im PKW bei 180 km/h käme wohl kaum jemand auf diese Idee.

Fazit

Ich würde ein Tempolimit nicht als “Angriff auf die Freiheit” sehen. Weder ginge die Welt unter, noch das Licht aus. Wie jedes Limit und jede Einschränkung sollte es aber gut und nachvollziehbar begründet sein und entsprechende positive Auswirkungen haben, die die Einschränkungen ausgleichen.

Diese positiven Auswirkungen sehe ich bei einem allgemeinen Tempolimit auf Autobahnen nicht. Weder in Sachen Sicherheit noch in Sachen Umwelt.

Veröffentlicht unter Allgemein | 10 Kommentare