Windows stabiler und sicherer? Geht nicht. Oder?

Es hat etwas länger gedauert seit dem letzten Artikel, aber manchmal muss man einfach Prioritäten setzen.

Wie schon im letzten Artikel gibt’s auch hier zuerst einen Blick in die Vergangenheit. Windows 9x und ME mit ihrem DOS Unterbau liefen auf Basis des (V)FAT Dateisystems bzw. FAT32. Das Dateisystem bietet dabei keinerlei Möglichkeiten, irgendwelche Rechte zu beschränken. Wer Zugriff aufs Dateisystem hat, hat überall Zugriff.

Selbiges gilt natürlich nicht nur für den Benutzer, sondern auch für jegliche Programme. Die schon erwähnte “DLL Hölle” wurde mit noch älteren Windows Versionen geboren und sorgte dafür, dass verschiedene Programme bei ihrer Installation einfach irgendwelche System-DLLs durch neuere oder ältere Versionen ersetzen konnten. Das führte früher oder später immer zum Chaos.

Wer einen Bluescreen unter Windows 9x sehen wollte, brauchte nur im passenden, falschen Moment eine Diskette aus dem Laufwerk zu ziehen, während noch darauf zugegriffen wurde.

Mittlerweile sind solche Macken zum Glück Geschichte, aber manches Mal läuft ein System trotzdem instabil und Windows Systeme sind immer noch die größten Verbreitungsquellen für Schadsoftware. Was schon bei den Fragen der Performance galt, gilt hier auch weiterhin: mehr und zusätzliche Software macht das System meist weder stabiler noch sicherer.

Firewall? Aber sicher!

Die Mehrzahl der Benutzer hat heutzutage von Antivirensoftware und Firewalls schon etwas gehört. Im professionellen Bereich ist eine Firewall kein Stück Soft- oder Hardware, sondern ein Konzept, bestehend aus vielen verschiedenen Komponenten. Auch wenn dies jetzt umständlich klingt, sollte jeder sich auch privat zumindest ein wenig damit beschäftigen. Eine einfache “Personal Firewall”, also ein Programm, was auf einem PC installiert wird, kann eine Sache leisten: sie kann den PC so verschließen, dass kein Zugriff von außen auf diesen PC möglich ist. Dies sollte auch die Grundeinstellung einer jeden Personal Firewall Software sein. Eines kann sie aber nicht: sie kann niemals verhindern, dass ein Benutzer oder eine Software sie von innen umgehen oder deaktivieren. Allerdings gibt es viele Produkte, die so etwas suggerieren.

Eine solche Software, die ausgehenden Netzwerkverkehr filtern möchte, kann immer nur die Programme filtern, die sich brav an alle üblichen Funktionalitäten des Betriebssystems halten. Insofern könnte sie also dazu dienen, ein normales Programm daran zu hindern, z.B. auf bestimmte Adressen zuzugreifen. Nur warum setze ich Software ein, wenn ich ihr nicht vertraue? Was ich auf dem heimischen PC an Software einsetze, könnte prinzipiell mit dem Internet kommunizieren, sobald ich eine Internet-Verbindung aufgebaut habe. Und gerade die Programme, die es drauf anlegen, schaffen das auch.

Im Gegenzug gab es in den letzten Jahren öfter Meldungen über Sicherheitslücken in verschiedenen Personal Firewall Produkten. Hiermit wird also ganz deutlich, dass die Installation zusätzlicher Software auch zusätzliche Angriffspunkte schafft. Die Windows Firewall ist seit XP SP2 standardmäßig aktiv und bei Windows 7 kann man sie recht bequem konfigurieren – selbst für die eher nicht so sinnvollen, ausgehenden Verbindungen. Insofern kann man hier ganz problemlos auf zusätzliche Software mit zusätzlichen Risiken verzichten.

Virus? Anti-Virus?

Antivirensoftware ist für viele Benutzer das zweite Allheilmitteln, oft auch in Zusammenhang mit einem Komplettpaket aus Personal Firewall und diversen weiteren “Sicherheitsfunktionen”. Die Antivirensoftware analysiert geöffnete Dateien und meist auch den Netzwerkverkehr und versucht, anhand von bekannten Merkmalen oder einem typischen Verhalten zu erkennen, dass eine Datei oder ein Netzwerkzugriff schädlich sind. Eines kann man daraus schon gleich ersehen: dazu muss entweder die Schadsoftware schon bekannt sein oder ihr Verhalten ist so typisch, dass die Verhaltensanalyse des Antivirenprogrammes anschlägt. Also eine Kombination aus Aktualität, Bekanntheit der Schadsoftware und gutem Ratevermögen, wenn man so will. Und wie auch schon bei der Personal Firewall kann eine unerkannte Schadsoftware, die einmal aktiv geworden ist, natürlich auf dem PC beliebige Dinge anstellen – auch mit der Antivirensoftware. Sich erfolgreich zu verstecken ist nur eine Möglichkeit.

Somit zeigt sich ganz klar: ein Antivirenschutz ist kein 100%iger Schutz! Er ist kein Rettungsanker, auf den man sich jederzeit voll verlassen kann. An sich ist ein Virenschutz auf dem PC immer nur eine Anzeige dafür, dass das Sicherheitskonzept versagt hat, wenn er eine aktive Schadsoftware erkennt. Oder halt ein Schutz vor alter Schadsoftware, die man zufällig irgendwo herunterlädt. Mehr nicht. Er gehört auf jeden PC mit drauf, aber ist auch nur ein Teil eines Sicherheitskonzeptes.

Der Mensch steht im Mittelpunkt und damit jedem im Weg!

Das größte Sicherheitsrisiko ist immer noch der Benutzer. Heutige Schadsoftware arbeitet viel mit sozialen Komponenten. Wenn einem Benutzer nur gut genug weisgemacht wird, dass er eine Software installieren will, dann wird er jegliche Sicherheitswarnungen ignorieren und diese auch installieren.

Andererseits gibt es immer noch Leute, die die automatischen Windows Updates deaktivieren. Ein ungepatchtes System ist aber leicht angreifbar und Lücken im System werden auch gnadenlos ausgenutzt. Es ist also existenziell wichtig, das System auf dem aktuellen Stand zu halten. Falls mal was bei den Updates schief gehen sollte: ein aktuelles Backup ist eh Pflicht, insofern können die Sicherheitsupdates im Extremfall höchstens etwas mehr Zeit kosten. Wenn das System aktuell ist, ist die größte, verbleibende Lücke nur noch der User, und der ist leider immer noch viel zu oft Administrator.

Windows Vista und 7 richten nach der Installation nicht mehr automatisch einen Benutzer ein, der jegliche Rechte hat. Der erste Benutzer ist zwar an sich Administrator, aber er hat nur das Recht dazu, nach einer Bestätigung eben jene administrativen Rechte zeitweise zu erlangen. Die berühmte UAC Abfrage und für viele zuerst sehr nervig. Allerdings eines der sinnvollsten Sicherheitsfeatures seit Windows Vista. Normal ausgeführte Programme laufen einfach nur mit Benutzerrechten und haben keinen Zugriff aufs System oder Daten anderer Benutzer. Will man eine Software ausführen, sieht man sofort recht deutlich, dass diese administrative Zwecke anfordert und kann dies ablehnen – wenn man denn nicht, wie im ersten Absatz angedeutet, sowieso zu allem zustimmt.

Für die Sicherheit kann man also zusammenfassend folgendes tun:

– automatische Updates aktivieren und das System darüber aktuell halten
– die Benutzerkontensteuerung verstehen und sinnvoll einsetzen, d.h. nicht deaktivieren
– nicht alles öffnen, was einem im Internet angeboten wird, insbesondere nicht ohne vorher nachzudenken.
– einen aktuellen Virenscanner nutzen, aber deswegen trotzdem nichts unüberlegtes tun
– die Windows Firewall aktiviert lassen, die Standardeinstellungen reichen aus

Stabilität ist alles!

Die Tipps zur Sicherheit wirken sich auch auf die Stabilität aus. Aber dazu gehört noch ein wenig mehr, nicht nur auf der Seite der Software.

Windows selbst ist heutzutage stabil. Ohne großes Wenn und Aber. An der Software selber kann man nichts selber verbessern – nur durch wackelige Hardware und Treiber verschlechtern.  PCs und Notebooks sind mittlerweile nicht nur preiswerter, sondern auch billiger geworden. Qualität hat aber immer noch ihren Preis und einen hochwertigen PC gibt es nun einmal nicht für 299 EUR im Lebensmittel-Discounter.

Worauf kommt’s bei der Hardware an? Viele schauen auf den Prozessor oder auf die Festplattengröße, aber das sind zweitrangige Dinge. Ein stabiles System hat ein qualitativ hochwertiges Mainboard, gute Speichermodule und ein ebenfalls hochwertiges Netzteil.

Das 750 Watt Netzteil für 24,99 EUR kann nur als Chinaböller angesehen werden. Die Gamer-Speicher, die erst bei nicht mehr spezifikationsgemäßer Spannung laufen, tragen ebenfalls nicht zur Stabilität bei. Wem die Auswahl der Komponenten zuviel ist, der sollte nach einem Komplettsystem aus den Business-Serien der Markenhersteller wie HP oder Dell Ausschau halten. “Business” ist alles das, was nicht beim Blödmarkt steht…

Bei guter Hardware sind normalerweise auch die Treiber von ganz anderer Qualität als bei Billigstware. Bei Herstellern wie z.B. Intel bekommt man über längere Zeit hinweg Updates, direkt Support bei Problemfällen und auch mal Listen von Änderungen zwischen Treiberversionen. Insofern hilft also auch ein wenig, eher nach bekannten Marken zu schauen.

Alles sonstige, was sich negativ auf die Stabilität auswirkt, wurde schon im Artikel über die Tuning-Tools erwähnt. Insofern alles kein Hexenwerk und das stabile und sichere System ist absolut keine Utopie, sondern mit einer guten Basis und ein wenig Eigendisziplin leicht zu realisieren.