Peter Blaumeier schrieb:
Gibt es hier spezielle Einstellungen, damit ein Rechner quasi gekapselt ist und falls etwas schief gehen sollte, nur der Rechner betroffen ist und kein weiterer?
Top 1 beim Umgang mit Malware jedweder Art ist schon mal, dass man von vornherein vermeidet, sich überhaupt Malware einzufangen. Du scheinst dir ja offenbar gerade über die Gefahr in der Zukunft Gedanken zu machen und das impliziert, dass du dir dessen bewusst bist, dass das was du tust, das Risiko für Malware und Co birgt - zB Filesharing, dubiose Internetseiten, etc. Keine Ahnung ob das so ist, ist mir auch egal, aber der sicherste Weg wäre, solche Seiten einfach zu meiden.
Wenn man sich trotzdem Malware eingefangen hat - kann ja auch über einen USB-Stick den Weg in den Computer finden - kann die Malware so ziemlich alles tun was du als Nutzer auch tun könntest. Das schließt natürlich die Verbindung zu anderen Computern im Netzwerk mit ein. Malware kann also durchaus das Netzwerk nach angreifbaren Zielen durchforsten, um dann zu versuchen, sich darüber weiterzuverbreiten.
Innerhalb ein und desselben Netzwerks kann man nur mit Mühe
flächendeckende Sicherheitsvorkehrungen treffen, weil das lokale Netzwerk in der Regel als vertrauenswürdig eingestuft wird, um beispielsweise Dateifreigaben und dergleichen nutzen zu können. Das heißt, dass alle anderen PCs den fraglichen, potentiell infizierten PC normalerweise als unbedenklich einstufen und Zugriffe von dort erlauben würden. Unter Windows könnte man das Netzwerk auf allen anderen PCs als "öffentlich" deklarieren und dann macht die Firewall die Schotten dicht und blockt eingehende Verbindungen konsequent ab, auch aus dem lokalen Netzwerk, auch von dem fraglichen PC aus. Diese Einstellung ist aber dem Namen nach für
öffentliche Netzwerke gedacht, also Netze in Hotels, Cafés, etc., weil dort ebenausschließlich
fremde Teilnehmer im Netzwerk sind. Wenn man das heimische Netzwerk als potentiell gefährlich einstuft, sollte man ernsthaft über das eigene Nutzungsverhalten nachdenken, wo wir wieder bei dubiosen Internetseiten, etc. wären.
Was auf jeden Fall schwierig bis unmöglich wäre, ist die Abwägung zwischen "böse Malware von dem PC darf nicht ins Netzwerk" und "sonst darf/soll/muss der PC mit anderen Geräten im Netzwerk kommunizieren". Entweder ist der PC ein potentielles Sicherheitsrisiko oder eben nicht. Die sicherste Lösung ist daher, den fraglichen PC ins Gastnetzwerk zu hängen. Das bedeutet aber auch, dass die Firewall der Fritzbox ihn dann komplett vom Hauptnetzwerk isoliert und somit zB Netzwerkdrucker, NAS und Co auch nicht genutzt werden könnten.
Eine VM ohne Netzwerkverbindungen wäre natürlich auch eine Lösung. Im Idealfall sogar regelmäßig durch einen sauberen Snapshot zurückgesetzt, was auch eine Malware rausschmeißen würde.
Aber wie gesagt, der beste Schutz ist es, eine Infektion von vornherein zu vermeiden. Keine unbekannten eMail-Anhänge öffnen, keine Webseiten in der "Grauzone" besuchen, keine potentiell infizierten Downloads starten (Filesharing, etc).
