Was soll ich denn anstelle einer Personal Firewall verwenden?

Wer ein XP hat, ist auf jeden Fall mit der Windows-Firewall ausreichend gut bedient. Man liest zwar immer wieder in diversen Foren, dass sie schlechter sein soll als die gängigen Personal Firewalls, allerdings konnte uns bisher noch niemand technische Argumente für diese Behauptung geben. Eine andere Möglichkeit ist die Verwendung eines filternden Routers. Es gibt seit geraumer Zeit preisgünstige Geräte, die für die Absicherung eines Heimrechners oder Heimnetzwerks völlig ausreichend sind. Schließlich besteht noch die Möglichkeit, die überflüssigen Dienste zu deaktivieren, und so dafür zu sorgen, dass ein Rechner erst gar keine Oberfläche für Angriffe bietet. Auf ntsvcfg.de und dingens.org gibt es Tools, die einen Rechner automatisch so konfigurieren, dass er keine unnötigen Dienste nach außen anbietet.

Aber so kann ich doch gar nicht verhindern, dass Software nach Hause telefoniert!

Wie hier bereits gesagt lässt sich das grundsätzlich nicht verhindern, wenn Software erst mal ausgeführt wird und irgendein Programm nach außen kommunizieren darf. Die einzige Möglichkeit, das zu verhindern, besteht darin, telefonierende Software gar nicht erst auszuführen. Dabei können Virenscanner helfen, sofern sie regelmäßig (möglichst täglich) aktualisiert werden. Außerdem tut man gut daran, den automatischen Start von CD-Laufwerken (zumindest für Daten-CDs) zu deaktivieren. Für einzelne Benutzer hilft dabei das Tool TweakUI, das es kostenlos bei Microsoft gibt, oder man deaktiviert es systemweit über eine Gruppenrichtlinie. Diese editiert man mit dem SnapIn gpedit.msc für die Microsoft Management-Konsole (MMC), das sich im system32-Verzeichnis befindet. Eine weitere Möglichkeit für fortgeschrittenere Nutzer besteht in der Verwendung von Software Restriction Policies, mittels derer man exakt festlegen kann, welche Programme gestartet werden dürfen, und welche nicht.

Darüber hinaus ist es sinnvoll, Internet Explorer und Outlook bzw. Outlook Express so weit wie irgendwie möglich zu meiden, da sie wiederholt durch massive (teilweise immer noch nicht behobene) Sicherheitslücken aufgefallen (wer ein plakatives Beispiel sehen will, sollte sich dieses Video ansehen) und durch die Integration in Windows besonders angreifbar sind. Stattdessen sollten besser andere Browser bzw. Mail-Clients verwendet werden, beispielsweise Mozilla, Firefox/Thunderbird oder Opera.

Und mit einem Virenscanner wird alles gut?

An Virenscannern scheiden sich die Geister. Progamme dieser Kategorie bieten meist zwei Scan-Methoden (signaturbasiert und heuristisch), und lassen sich auf zwei Arten ausführen (on-demand und on-access):

Ob man nun einen Virenscanner verwenden will, und ob man On-Access-Scans oder zyklische On-Demand-Scans bevorzugt, muss man letztlich selbst entscheiden. Gerade für unerfahrende Anwender raten wir aber trotz des Risikos, das ein Dienst mit SYSTEM-Rechten darstellt, eher zur Verwendung eines Virenscanners mit On-Access-Scan und regelmäßiger (möglichst automatischer) Aktualisierung.

Aber wie soll ich denn feststellen, dass ein Programm nach Hause telefoniert?

Es gibt verschiedenste Wege, sowas festzustellen. Man kann mit TCPView die offenen Verbindungen beobachten. Man kann mit Port Reporter Verbindungen mitprotokollieren lassen. Man kann mit Ethereal oder einem anderen Protocol-Analyzer den Datenverkehr untersuchen. Selbstverständlich kann man auch eine Personal Firewall für derartige Beobachtungen verwenden. Man muss sich lediglich darüber im Klaren sein, dass diese Beobachtungen aufgrund der vielfältigen Umgehungsmöglichkeiten nicht zuverlässig sind, und auch nicht zuverlässig sein können.

fdik hat im ChaosSeminar einen Vortrag über (Un)Sicheres Windows am Heim PC gehalten. Der Vortrag richtet sich an Otto-Normaluser und lohnt sich!


zurück zur Startseite