Was kann ich noch für meine Sicherheit tun?

[ghecko]

Entgegen der Aussage von @RalphS, dass Linux nichts zur Sicherheit beiträgt wenn man sich damit nicht auskennt habe ich die Erfahrung gemacht, dass genau gegenteiliges der Fall ist.

Im Gegensatz zu Windows verzeiht Linux durchaus einige Fehltritte im Netz. Das sehe ich bei allen Systemen die ich im Verwandtenkreis betreue und die ich seit der Umstellung auf Linux kaum noch zu Gesicht bekomme. Keine Viren, keine Unbenutzbarkeit aufgrund mitinstallierter Ramschsoftware und keine verschlüsselten Datenträger mehr. Und die Nutzer sind im Groß 60+ und alles andere als IT-Experten.
Mit entsprechenden Plugins und Einstellungen am Browser hat man so schon ein ziemlich gehärtetes System vor sich, ohne sich mit dem System auskennen zu müssen. Gegen soziale Attacken im Netz hilft das natürlich nichts aber zumindest kann auf Softwareseite kaum noch was passieren.

 

[RalphS]

Das ist zwar nicht völlig von der Hand zu weisen, aber man muß halt auch wissen, was man sich da ins Haus holt.

Es gibt verschiedene Ansätze für "Sicher". Einer davon ist security-by-obscurity. Ein anderer ist securty-by-verifiability. Beide sind gültige Ansätze, stehen jedoch konträr gegenüber: Man kann nicht den PC in der anonymen Masse verstecken, wenn man Verbindungen zertifizieren will.

Ich stehe persönlich dem Konzept "security by obscurity" eher kritisch gegenüber. Das "Problem" daran ist, daß man so gut wie nichts unter der eigenen Kontrolle hat; das Konzept geht solange auf, wie ich unsichtbar bleibe, aber wehe ich werde gefunden; dann kann ich das System nur noch wegwerfen und "neu verstecken" (in diesem Sinne).

Exakt diesem Schema folgt der Ansatz, pauschal erstmal Linux zu nehmen als Betriebssystem, welches eben nicht besonders geläufig ist und für das es entsprechend kaum Malware und kaum Anreize für Malware gibt. (Außer man ist ein Server.)

Weitergehend ist damit jedes Betriebssystem erstmal pauschal sicherer als Windows, nicht aus irgendwelchen inhärenten Gründen, sondern weil Windows das verbreitetste Betriebssystem da draußen ist.

Problem: Das ist nur die halbe Miete. Paketmanager schmeißen vollautomatisch Abhängigkeiten ins System, die keiner kennt, und von denen noch nicht mal der informierte User unbedingt weiß, in welchem Zustand die sich befinden. ISC BIND und Sendmail, Exim, dergleichen sind da Kandidaten. Datenbankserver kommen dazu, da wird ggfs. gefragt was man da machen soll aber der "normale Mensch" klickt das einfach durch, weil entweder weiß er nicht von wegen Datenbank oder er weiß nichts mit "ISC BIND" anzufangen oder was Exim sein soll.

Und schon hab ich einen stinknormalen Anwender-PC, der mit Pech zur Spamschleuder degeneriert; das würde man zwar merken, wenn man ein Monitoringsystem verwenden würde oder selber pauschal regelmäßig in die Logfiles guckt, aber wer macht das schon? Der Normalsterbliche jedenfalls nicht.

Dann noch als root unterwegs oder mit einer der tollen Distros, die der Meinung sind, sudo darf alles und benötigt auch kein Paßwort und jedes Windows ist sicherer.


Oder nehmen wir Android als "Ableitung" von Linux. Das Zeug ist dermaßen standardisiert und der Weg über den Playstore ist dermaßen einfach, daß man als Malwareautor praktisch Support leisten kann. Warum umständlich versuchen, sich ins System zu hacken, wenn man einfach seine Malware über offizielle Kanäle verteilen kann?

Ich unterstell mal, daß das bei den Paketverwaltungssystemen "normaler" Linuxdistributionen ein bißchen besser geregelt ist, aber ehrlich gesagt würde ich mich absolut wundern, wenn da nicht eines von den vielen Paketen dort drin wissentlich (oder unwissentlich!) Malware war.

 

[ghecko]

aber ehrlich gesagt würde ich mich absolut wundern, wenn da nicht eines von den vielen Paketen dort drin wissentlich (oder unwissentlich!) Malware war.

Bei ppas eventuell. Solange man nur die signierten repos des Distroservers verwendet wäre der Aufwand, um ein kompromittiertes Opensource-Paket über diesen Weg zu verteilen kaum dem Nutzen entsprechend.
Distros haben nichts zu verlieren außer ihrem Ruf, ich sehe da keine Motivation wissentlich Malware zu packen. Also müsste man bei der Software selbst ansetzen. Die meisten Projekte werden auf GIT oder ähnliche Plattformen entwickelt und der Code ist jederzeit für jeden ersichtlich. Das unterscheidet diese Software vom Apps aus dem Appstore. Einen reelen Angriffspunkt der langfristig genug verschleiert werden könnte um für Unfug nützlich zu sein sehe ich da eher in proprietären Firmwareblobs. Das und nicht entdeckte Softwarefehler.

Dann noch als root unterwegs oder mit einer der tollen Distros, die der Meinung sind, sudo darf alles und benötigt auch kein Paßwort

Solche Distros sind mir gänzlich unbekannt. Hast du da Beispiele?

 

[KelinerFuchs]

Ersteinmal Herzlichen Dank an Beteiligten

Also

ich habe jetzt erst mal die Plugins für mein Firefox installiert

Adblock Plus
Ghostery
uBlock Origin

Dann habe ich im System einige Einstellungen vorgenommen (Siehe Anhang)
Eine Frage zu einer Einstellung "Automatische Übermittlung von Beispielen" Was ist das genau? Wenn ich die deaktivieren, kommt dann die Meldung mein PC sei nicht mehr sicher?

Zum Thema Defender! Das ist eine MS interne Viren Software? Richtig?

Wo finde ich eigentlich den BitLocker?

www.virustotal.com ist genial Danke für den Tipp

Als suchmaschine versuche ich mich an Startpage

Was sind eigentlich diese anderen Einstellungen im Anhang? Sind das Lenovo Spezifische Funktionen? Kernisolierung, Sicherheitschip usw..

Als Mail habe ich mir den Anbieter https://protonmail.com/de/ empfehlen lassen.. Ist euch der bekannt? Die bieten auch den Proton VPN Dienst an https://protonvpn.com
Sowohl für Win als auch für iOS Android usw.. Ich habe mir mal testweise die iOS version runtergeladen und muss sagen, die Leitung ist sehr schnell



Sorry fürs immer verzögerte Antworten! Ich versuche das nach und nach durch zu arbeiten und schaffe das alles nicht in kürzester Zeit

 

[Dr. McCoy]

Adblock Plus

Besser: uBlock Origin. Nicht beide.

Ghostery

-> https://www.heise.de/newsticker/meldung/Kritik-an-Werbeblocker-Ghostery-1890879.html

Nicht einfach alle möglichen Tools/Addons etc. installieren! Der Schuss kann schnell nach hinten losgehen! Immer sorgsam und gewissenhaft prüfen, bevor man etwas installiert!

Eine Frage zu einer Einstellung "Automatische Übermittlung von Beispielen" Was ist das genau?

Sogenannte "Samples". Das sind z.B. verdächtige Dateien, die von der Heuristik bzw. der proaktiven ("verhaltensbasierten") Erkennung des Virenscanners erfasst und somit als verdächtige Datei eingestuft werden. Die verdächtigen Dateien dürfen dann zur weiteren Analyse an Microsoft gesendet werden.

Zum Thema Defender! Das ist eine MS interne Viren Software? Richtig?

Das ist die Anti-Virensoftware. "Virensoftware" wären dem Begriff nach die Schädlinge selbst, denn Viren bzw. Malware ist Software, nur halt schädigende Software.

Wo finde ich eigentlich den BitLocker?

Ab Windows 10 Pro aufwärts. Wahrscheinlich hast Du Windows 10 Home.
Die Verwendung von Bitlocker macht Dein System allerdings nicht sicherer gegenüber Infektionen mit Malware.

www.virustotal.com ist genial Danke für den Tipp

Nur keine falschen Hoffnungen machen. Es gibt immer wieder Malware, die anfangs nicht mal von einem einzigen Virenscanner erkannt wird. Das ist keine verlässliche Säule!

Was sind eigentlich diese anderen Einstellungen im Anhang? Sind das Lenovo Spezifische Funktionen? Kernisolierung, Sicherheitschip usw..

Nein, das stammt von Windows 10 selbst:
-> https://www.deskmodder.de/wiki/index.php?title=Kernisolierung_aktivieren_deaktivieren_Windows_10

Als Mail habe ich mir den Anbieter https://protonmail.com/de/ empfehlen lassen.. Ist euch der bekannt?

Ja, der ist bekannt. Kann man verwenden. In Deutschland gibt es z.B. folgende Alternativen:
-> https://mailbox.org/de/
-> https://posteo.de/de

Die bieten auch den Proton VPN Dienst an https://protonvpn.com

Zu welchem konkreten Zweck möchtest Du das VPN denn verwenden?

 

[KelinerFuchs]

Hallo und danke für deine schnelle Rückmeldung

Zum BS .. Ich nutze Win10 Pro

Zu welchem konkreten Zweck möchtest Du das VPN denn verwenden?

Da du so fragst, denke ich, wird es für mich unnütz sein? Eigentlich für die Kommerziellen Dinge wie in meinem ersten Beitrag geschrieben.. Treibe mich weder auf Darknet herum oder sonstigen Kritischen Webseiten

Besser: uBlock Origin. Nicht beide.

OK.. Also Adblock löschen und Ghostery auch löschen?

 

[Dr. McCoy]

Zum BS .. Ich nutze Win10 Pro

Ja, das hätte ich selbst vorher ersehen müssen, es steht ja auch in Deinem Eröffnungsbeitrag sowie in diesem Thread. Infos zu Bitlocker und der Aktivierung findest Du hier:
-> https://support.microsoft.com/de-de/help/4028713/windows-10-turn-on-device-encryption

Da du so fragst, denke ich, wird es für mich unnütz sein?

Nun, ein VPN ist nicht zwangsläufig unnützt. Nur, wenn es um die Fragestellung der Sicherheit geht, wie in diesem Thread, ist auch immer die Frage nach dem Ziel, also, was man mit einer Maßnahme bezwecken will, ein entscheidender Punkt.

Eigentlich für die Kommerziellen Dinge wie in meinem ersten Beitrag geschrieben..

Ja, da steht:

NZZ, Welt, Zeit, Blick, 20min, Computerbase, Manufactum, YouTube, Netflix und diverse andere Kommerzielle Seiten..

Nur: Was hat das konkret mit einem VPN zu tun? Oder besser gefragt: Was soll das VPN in Bezug auf diese Webseiten bewirken?

OK.. Also Adblock löschen und Ghostery auch löschen?

Das entscheidest Du am Ende selbst. Meine Hinweise sollen sensibilisieren, gerade dann, wenn es ohnehin um die Frage der Absicherung geht.

 

[Hayda Ministral]

Hallo Computerbase!

Ich habe mir in letzter Zeit, ein wenig Gedanken zum Thema Sicherheit gemacht und muss sagen, Ich weis nicht wo ich suchen muss und was ich machen muss, um die bestmögliche Sicherheit herauszuholen.

Hast Du aus dem was Du gelesen hast denn wenigstens schonmal die notwendigen Informationen gewonnen um zu definieren was Du unter "die bestmögliche Sicherheit" verstehen möchtest?

 

[Zuse1]

Hallo und danke für deine schnelle Rückmeldung

Zum BS .. Ich nutze Win10 Pro



Da du so fragst, denke ich, wird es für mich unnütz sein? Eigentlich für die Kommerziellen Dinge wie in meinem ersten Beitrag geschrieben.. Treibe mich weder auf Darknet herum oder sonstigen Kritischen Webseiten





OK.. Also Adblock löschen und Ghostery auch löschen?

Am vertrauenswürdigsten ist uBlock Origin. Also ja, Du kannst die beiden Addons entfernen.

 

[CMDCake]

Virenscanner alles außer Defender, nicht weil er scheiße ist, sondern weil ihn alle einsetzen.

Was ist das denn für eine Argumentation?

Der Defender ist weit verbreitet, korrekt. Dafür ist er aber nicht mit lauter Dirty Hacks ins System reingefrieckelt mit dubiosen Filter Treibern und fällt auch nicht seit Jahren Ständig mit einem Sicherheitsdebakel nach dem anderen auf. Der Defender ist nicht perfekt, aber weitaus ausgereifter als die Katastrophen die hier jährlich von Avast, Avira, kaspersky, McAfee usw auf den Markt geworfen werden, dazu wurde hier im Forum auch schon eine Menge gesagt, argumentiert und mit Fakten belegt, Skeptiker dürfen sich also gerne ein wenig mit der Suchfuktion des Forums vertraut machen.

Ebenso raten Branchenriesen wie Mozilla und Google massiv von Dritttanbieter AV Software ab, also langjährige Experten auf dem Gebiet Internet und Sicherheit, die machen das also grundlos?


Ansonsten gehört zu einem sicheren Browser definitiv ein Adblocker, Ublock Origin genießt seit Jahren einen ausgezeichneten Ruf. Noscript sollte auch nicht fehlen, anfangs erstmal nervig, aber nach kurzer Zeit ist alles eingestellt und man ist schonmal vor einem großen Teil der gefahren abgesichert.

 

[andy_m4]

Was ist das denn für eine Argumentation?

Die Idee die dahinter steckt ist, das alles was nicht verbreitet ist auch seltener Angegriffen wird.
Sozusagen der MacOS-Effekt. MacOS ist nicht unbedingt sicherer als Windows, aber aufgrund seines Marktanteils macht sich kaum jemand die Mühe MacOS zu attackieren, um letztlich potentiell nur (jetzt mal übertrieben gesprochen) ne handvoll Opfer zu haben.
Der Effekt ist also weder ungewöhnlich noch unbekannt und ist daher natürlich zu berücksichtigen. Klar lässt sich immer darüber diskutieren, mit welchem Gewicht.

Man sollte daher auch getrennt davon die Frage stellen, ob die Alternativen besser sind. Darüber hinaus lohnt sich die Überlegung, ob das Gesamt-Schutzniveau durch Einsatz eines Virenscanners steigt.

Weil den Einsatz einer weiteren Software wie einen Virenscanner birgt halt auch Risiko. Einiges hattest Du schon genannt. Es kann das System schädigen. Es kann zusätzliche Angriffsfläche bieten. Es kann andere Sicherheitsmaßnahmen unterminieren. Es ist auch prinzipiell nicht in der Lage alle Schädlinge zu erkennen (Schwerpunkt bei der Erkennung sind die Viren, die bereits bekannt und analysiert worden sind). Wie viel das in der Praxis (also außerhalb von Labortests) ist, darüber gehen die Meinungen weit auseinander. Verlassen sollte man sich also ohnehin nicht drauf.

Die Frage ist also: Wiegt der Einsatz eines Virenscanners die Nachteile auf damit am Ende auch ein Sicherheitsplus übrig bleibt (wenn nicht, kann man sich den Einsatz sparen).
Auch das lässt sich sicher nicht pauschal beantworten und kommt auf das Nutzungsprofil an.

 

[RalphS]

Was ist das denn für eine Argumentation?

Das ist die Argumentation, die den Kontext berücksichtigt. Es geht nicht darum, wie gut oder wie schlecht der AV-Scanner ist; es geht darum, das System sicher zu bekommen.

Das sind zwei völlig verschiedene Paar Schuhe. Ein anderes Beispiel:

-- Ein Paßwort mit 8 Buchstaben ist sicher, wenn es auf einer Maschine ohne Benutzerverkehr und ohne Internetanschluß verwendet wird.
-- Ein Paßwort mit 16 Zeichen egal welcher Art ist unsicher, wenn es für einen Internetservice verwendet wird.

Hintergrund:
-- An den "Safe" mit dem achtstelligen Schlüssel kommt effektiv kein Unbekannter ran, weder direkt per Tastatur noch indirekt per Netzwerk.

-- An den "Safe" mit dem sechzehnstelligen Paßwort kommt praktisch jeder, freiwillig oder unfreiwillig, absichtlich oder nicht, ist egal, im Internet weiß ich nichts über gar nichts.


"Normal" staffelt man sein Sicherheitskonzept. Ich hab einen Zugang zum Internet? Direkt am Zugang hängt irgendeine Form von Gateway mit Sicherheitsfunktion, sei es ein Proxy mit Accesssfilter und AV-Scanner oder ein normaler L3-Router mit irgendwelchen Zugriffsbeschränkungen und Deep Packet Inspection.

Dahinter hab ich mein Netzwerk. Das ist jetzt in irgendeiner Form gegen Zugriffe "von da draußen" geschützt. Nicht geschützt ist es aber gegen Zugriffe von innen, wenn sich also wer Fremdes ransetzt an eine Kiste, dann nützt der Internetgateway überhaupt nichts, außer daß er ggfs. noch protokolliert. Entsprechend brauch ich noch einen zusätzlichen Schutz für die Clients.

Knackpunkt: Ich hab jetzt ein Subset von Angriffspunkten auf meinem Client. Die Software dort muß nicht mehr gegen alles schützen, auch wenn es natürlich sinnvoll ist, "Internetschutz" auf Clientseite aufrechtzuerhalten als zweite Schutzwand.

Wenn es jetzt einen Angreifer gäbe und der hätte es auf deutsche Internetnutzer abgesehen, was macht der?

• Er findet Schwachpunkte der Fritzbox. Deckung: >80%.
• Er versucht sich an 192.168.178.0/24 als Zielnetz. Deckung: 95+% bei Fritzboxen. Dann noch die 1.0/24 und die 2.0/24 und er hat 95%+ total.
• Er versucht sich an Windows 10 ohne weitere Schutzsoftware. Deckung: >90% .

Mit anderen Worten, der potentielle Angreifer läuft einfach da durch. Die Umgebung ist buchstäblich uniform. Findet sich dann auch nur eine Schwachstelle im Windows Defender, läuft er nicht nur durch, sondern er rennt durch.

Nehmen wir hinzu, daß der Otto Normalanwender als Admin unterwegs ist.... eh.

Was kann man also tun?

• Irgendwas nicht-Fritzbox als Router einsetzen. Deckung: <= 20%.
• den IP-Addressraum seines Heimrouters ändern, und sei es auf sowas wie 192.168.150.0/24. Deckung: <= 10%.
• Nicht Windows verwenden. Deckung: <= 10%.

Und nicht als Admin unterwegs sein. Deckung: <= 10%.

Und schon ist die Einfahrt nicht mehr von der Dimension eines Scheunentors, sondern eher einer hohlen Gasse, durch die er kommen muß.

Analog: Setze ich in meinem Netzwerk überall dieselbe Software ein und es findet sich irgendwann mal eine Schwachstelle da drin, dann hab ich überall den Schaden.
Setz ich aber auch mal was anderes ein, dann hab ich den Schaden auf die fragliche Teilmenge eingegrenzt.


Sicher, für zuhaus ist das Overkill. Aber man muß zumindest ein bißchen was im Hinterstüberl behalten. Homogenität im Netz ist zwar bequem, aber äußerst schlecht für die Sicherheit.

[Es] lohnt sich die Überlegung, ob das Gesamt-Schutzniveau durch Einsatz eines Virenscanners steigt [...]

Das größte Problem an der Stelle ist eine fehlende Nachvollziehbarkeit. Ich muß nicht unbedingt einen Virenscanner haben, der für mich jede Bedrohung aus dem Weg räumen soll.. Das funktioniert eh nicht.

Aber ich muß wissen was los ist. Hab ich keinen AV-Scanner, weiß ich nicht was los ist.

Natürlich kann man das Problem auch umgehen und kann zB Trojaner an den o.g. Gateway delegieren. Ich selber werd die Dinger ohne Erkennungssystem NICHT zu Gesicht bekommen (können) außer da waren absolute Stümper am Werk.

Das Mindeste was man daher tun muß ist sich fragen, welcher Weg von A nach B, um mir Schaden zuzufügen? Der Trojaner tut erstmal niemandem was, er macht das System weder lahm noch kaputt, aber er verschickt meine Daten, daran muß ich ihn hindern, OHNE meine Benutzer einzuschränken. Gelingt mir das, brauch ich keinen dedizierten "Trojanerfilter".

Aber es gibt auch noch andere Schadsoftware. Wir nennen das zwar alles Malware, aber das ist im Kontext Sicherheit eines DER Unwörter: Ransomware ist kein Trojaner ist kein Wurm usw und ich muß schon irgendwie gegen zumindest die schlimmsten Bedrohungen absichern.

Ransomware? Bissel blöd, wenn ich am Adminpanel zusehen kann, wie alle meine Daten (und die meiner Anwender!) meiner Kontrolle entschwinden. Da brauch ich aktiven Schutz. Benutzer kann irgendwohin schreiben? Die Ransomware dann auch.


"Backup" ist immer ein lecker Argument. Blöd nur, wenn man dann die ganzen Stunden verliert, und das auch noch wiederholt; noch blöder, wenn das Backup gleich mit verseucht wird.

Ich geh ja mit, daß AV-Scanner selber als Software die Angriffsfläche vergrößern. Aber mh. Zumindest in meinen Augen überwiegt der Nutzen weiterhin signifikant.

 

[CMDCake]

Es geht nicht darum, wie gut oder wie schlecht der AV-Scanner ist; es geht darum, das System sicher zu bekommen.

Das ist doch ein Widerspruch in Sich. Microsoft liefert einen Antiviren Scanner mit, nativ ins System integriert. Inwiefern hilft nun ein Dritttanbieter Tool, welches sich mit der heißen Nadel gestrickten Tricks ins System einnistet und dabei noch diverse Schutzmechanismen des Betriebssystems kompromettiert? Da werden jetzt viel mehr und gravierendere Löcher aufgerissen und Schutzfunktionen außer Kraft gesetzt als vor der Installation. Die Experten bei Google & Mozilla wie auch Microsoft haben das schon vor Jahren erkannt und angeprangert, geändert hat sich bislang nichts an der Situation.

Ich geh ja mit, daß AV-Scanner selber als Software die Angriffsfläche vergrößern. Aber mh. Zumindest in meinen Augen überwiegt der Nutzen weiterhin signifikant.

Beim nativen Defender stimme ich dir zu, die Dritttanbieter AV Lösungen fallen hingegen seit Jahren mit einem Datenleck, Zerschossenem System, Angriff und Sabotage anderer Software negativ auf. Wo ist hier der Gewinn an Sicherheit der DAS alles relativiert?

 

[performi]

Ransomware?

letztens erst wieder und ich geb ja zu, ich wollte meinen PC unnormal, also zur Videobearbeitung nutzen...

...

beim Defender (in WIN10-VM zugegeben nicht hochaktuell) hab ich dann im Explorer zugekuckt...

...

der hatte das Kennwort aber glaub ich nicht mit eingepackt...
naja, halt ein halber false positive und es war ja auch nur ein "Verhalten", aber hätte ja auch...?

aber zugegeben in der heutigen wichtigsten AV-Eigenschaft, der Nichtbehinderung des WINupdateschrottes bin ich (wahrscheinlich) natürlich klar benachteiligt...

achnee auch nicht ganz, wenn z.b. ein älteres Videoschnittprogramm aufgrund eben dieses Schrottes quasi also grundlos nicht mehr läuft, somit ein Film-Projekt zur Erhaltung für die Nachwelt nicht mehr bearbeitet werden kann, ja dann !

 

[andy_m4]

Aber ich muß wissen was los ist. Hab ich keinen AV-Scanner, weiß ich nicht was los ist.

Das weißt Du im Zweifel auch nicht mit Virenscanner. Insbesondere wenn Du Dir bereits eine Infektion eingefangen hast, leidet die Erkennungsrate noch mal deutlich, da moderne Malware durchaus Mühe aufwendet unsichtbar zu bleiben.

Natürlich kann man das Problem auch umgehen und kann zB Trojaner an den o.g. Gateway delegieren. Ich selber werd die Dinger ohne Erkennungssystem NICHT zu Gesicht bekommen

Na immerhin räumst Du ja mit dem Wort Erkennungssystem ein, das es andere Erkennungsmöglichkeiten gibt als ein Virenscanner. :-)

Ransomware ist kein Trojaner ist kein Wurm

Ransomware ist einfach eine Schadsoftware, die Daten verschlüsselt oder auf andere Weise unzugänglich ist mit dem Ziel der Erpressung. Letztlich ist der Grund aber auch egal. Wichtig ist, das die Daten geschützt sind.

Was kann man machen?
In der Praxis kommt Ransomware gerne als sogenannter Trojaner daher. Platt gesagt funktioniert das häufig so:
Du kriegst ne eMail aus dem Internet und sollst irgendwo klicken oder Anhang öffnen und schon hast Du den Salat.

Die Grundpolicy die man fahren sollte ist: Alles aus dem Internet ist böse.

Dementsprechend öffnet man nicht einfach irgendwelche Attachments und sorgt dafür, das das auch nicht ausversehen passieren kann. Im Falle von eMail kannst Du das einfach dadurch erreichen, das alles was nicht plain-text ist rausgefiltert wird.
Wenn denn doch Notwendigkeit besteht z.B. irgendne PDF etc. zu öffnen, dann tue ich das in einem geschützten Rahmen. In einem Process-Context der von allem anderen getrennt ist.
Das ist zwar auch kein 100% Schutz, weil die Isolationsumgebung fehlerhaft sein kann, dürfte aber signifikant sicherer sein als alle AV-Programme zusammen.

"Backup" ist immer ein lecker Argument. Blöd nur, wenn man dann die ganzen Stunden verliert, und das auch noch wiederholt; noch blöder, wenn das Backup gleich mit verseucht wird.

Keine Ahnung wie Du Backup machst. Aber mir kommt ja immer so wenig das grausen, wenn Leute so erzählen, das sie da ne externe Festplatte anschließen und ihren Kram rüberkopieren. :-)
Das ist vielleicht noch akzeptabel, wenn sie vorher von einem Readonly-Live-Medium booten, damit sie nicht versehentlich mit einem bereits verseuchten System das Backup machen und so das Backup gleich mit vernichten.
Was man aber mindestens auch machen sollte ist ein versioniertes Backup. Das heißt, ich will nicht nur den letzten Stand haben, sondern auch ein paar Stände davor. Optimalerweise dann noch eine monatliche Version und eine jährliche Version.

Und man sollte auch am und an das Recovery proben. Gibt ja Leute, die machen schon seit Jahren ein Backup und dann brauchen sie es irgendwann wirklich und merken dann erst, das ihr Backup gar nicht funktioniert. :-)

Ich geh ja mit, daß AV-Scanner selber als Software die Angriffsfläche vergrößern. Aber mh. Zumindest in meinen Augen überwiegt der Nutzen weiterhin signifikant.

Bisher konntest Du nur darauf verweisen, das Du damit ne Infektion erkennen kannst (was auch nicht ausnahmslos stimmt).
Erkennung geht aber auch anders. Ich kann beispielsweise meine Dateien tracken. Wurde heute irgendeine Datei geändert, obwohl ich die gar nicht bearbeitet hab, ist das zumindest verdächtig. Guck ich nach und da ist Datenmüll drin, dann weiß ich, das könnte gut Ransomware sein. Und den hätte ich dann ohne Virenscanner gefunden.
Man kann das Konzept natürlich beliebig erweitern. Sind Systemdateien geändern. Womöglich von einem Programm, obwohl da gar kein Update durchlief.

Klar ist auch das alles nicht 100% perfekt zur Erkennung. Aber hey: Das sind Deine Antivirenprogramme auch nicht.

Wie gesagt. Ich will den AV-Programmen den Nutzen gar nicht völlig absprechen. Aber so unersätzlich wie Du sie darstellst sind sie nicht.

Defender

Wobei auch der Defender schon negativ durch Lücken u.a. durch angesprochene "miese Tricks" aufgefallen ist.

Wobei sich ja schon sagen lässt, das der Defender dadurch rausfällt, das der nur auf Windows läuft. Und da Windows so verbreitet ist und nach RalphS man die Gefahr verringert wenn man etwas benutzt, was keiner oder nur wenige haben, ist sowohl der Defender als auch die keine andere fricklige AV-Software raus. :-)

 

[Dr. McCoy]

"Backup" ist immer ein lecker Argument.

Das ist überhaupt einer der wichtigsten Punkte bei einem Sicherheitskonzept, noch weit bevor man sich über einen Virenscanner Gedanken macht. Denn wichtige Daten bekommt man im Zweifel eben nicht wieder.

noch blöder, wenn das Backup gleich mit verseucht wird.

Dann ist es aber kein (vernünftig konzipiertes) Backup. Ein bzw. mehrere Backups haben sich zwingend immer außerhalb des Zugriffsbereichs von Malware zu befinden.

 

[KelinerFuchs]

Hallo Member

Wollte nochmals mich für die Diskussion hier bedanken Nicht dass Ihr denkt ich habe mich aus dem Staub gemacht.. Ich bin fleissig am mitlesen

 

[RalphS]

Haha, jetzt hab ich ja was angerichtet. Sorry. 😊

- 1 - Natürlich ging es mir in allererster Linie um Erkennung dessen, was bei mir im System so los ist. Ich dachte, das wäre bereits aus den ersten Zeilen des Kommentars hervorgegangen. Scheinbar nicht - das war mein Verschulden.

Zugegeben, ich verwend' an der Stelle "AV-Scanner" und Ähnliches gerne synonym für ein allgemein gefaßteres Erkennungssystem. Einfach deswegen, weil -soweit es mich betrifft- das Zeug dafür da ist, Viren zu erkennen, und dann nachrangig, diese zu entfernen. Eine Software, die Schadsoftware erkennt - egal wie geartet -- ist zumindest in meinen Augen erstmal ein AV-Scanner.

- 2- Meine Anmerkung "Backup" ist natürlich ebenfalls im Kontext zu verstehen. Ich dachte, das wäre klar genug. Wer stellt sich hin und argumentiert Sicherheitskonzepte und erklärt dann allen Ernstes, daß Backups nicht erforderlich wären? Absurd.

Mir ging es um Backups als Ersatz für den fehlenden Virenschutz, im Sinne von, habe ich einen Virus, spiel ich halt das virenfreie Backup wieder ein.

DAS ist ein Problem, denn das heißt für mich und meine Anwender, daß jederzeit Stunden an Arbeit verlorgengehen können. Schließlich hat niemand Kontrolle darüber, ob, wann oder was für ein Virus nicht doch trotz aller Maßnahmen den Weg ins System finden kann (und mit "System" meine ich das Gesamtsystem, ie die Infrastruktur, NICHT den Einzelplatz!). Habe ich aber erst gar keine Möglichkeit, den Eindringling zu identifizieren (geschweige denn loswerden) dann bin ich genötigt, auf Symptomatikbasis(wenn ich also merke, da funktioniert was sehr seltsam oder gar nicht mehr) den oder die betroffenen Clients neu aufzusetzen.

Schlimmer noch, ich kann "einfaches Problem" nicht von "vorsätzlich schädigendem Einfluß" unterscheiden! Statt einfach ein Office neu zu installieren, weil ein unsigniertes Macro aus Versehen querschießt, muß ich "Virus" unterstellen und anfangen plattzumachen.


Daher die eingangs erwähnte Erkennbarkeit. Nicht umsonst hab ich "security by verifiability" erwähnt. Nicht nur die Zielgeräte werden "gesichert", sondern die Übertragungskanäle werden authentifiziert und ggfs. signiert oder verschlüsselt; denn dann kann ich zweifelsfrei rekonstruieren, wer Objekt O von Quelle Q nach Ziel Z übermittelt hat und kann auf Basis dieser Information zielgerichtet(!) das Problem angehen.


In einem Punkt geh ich aber uneingeschränkt mit und das ist der, daß Schutzsoftware einschließlich AV-Software ohne Sicherheitskonzept entweder gar nichts oder nur sehr wenig nützt. Firewall installieren kann jeder, aber für die Konfiguration brauch ich einen Plan; das gilt natürlich analog für jede andere Schutzsoftware auch. Einfach "installieren und los" ist sogar dann Schlangenöl, wenn man "das Beste vom Besten" verwendet. Das gilt auch für Windows.... hier werden die Standardeinstellungen (hier: im Sicherheitskontext) einfach unreflektiert übernommen, weil meist gar nicht klar ist, daß es da was gibt (oder was) und in Folge sind eben die Anwender als Administrator unterwegs. Denn das kriegen sie standardmäßig und das nehmen sie so und fertig, und wenn man bissel einschlägige "Fach"lektüre liest findet man sogar raus, wie man die leidige UAC loswird oder wie man "Vollzugriff Jeder" oder "kein Paßwort erforderlich" einstellen kann.

Und hinterher über Microsoft beschweren. Nope, dieses Problem sitzt ganz woanders.

 

[andy_m4]

Eine Software, die Schadsoftware erkennt - egal wie geartet -- ist zumindest in meinen Augen erstmal ein AV-Scanner.

Das ist dann aber eine sehr sehr weite Auslegung des Begriffes.
Bei "meiner" Methode wird ja gar nicht erst gezielt nach Malware gesucht. Es wird nur geguckt, ob es Auswirkungen gibt, die auf ein Problem hindeuten. Das kann Malware sein. Das kann aber auch ein Programmfehler sein.

Aber davon mal abgesehen: Wenn man Begriffe benutzt, sollte man sie auch nach gängigen Definitionen benutzen. Wenn jeder seine eigene Definition von Begriffen hat, dann ist das insofern sinnfrei, da es halt zu Missverständnissen führt wie hier schön zu sehen. Also sollte man das vermeiden.

und mit "System" meine ich das Gesamtsystem, ie die Infrastruktur, NICHT den Einzelplatz!

Wieviel Sinn macht es über Gesamtinfrastrukturen zu reden, wenn es offensichtlich darum geht das jemand sein Privatrechner absichern möchte? Aber gut.

Habe ich aber erst gar keine Möglichkeit, den Eindringling zu identifizieren (geschweige denn loswerden) dann bin ich genötigt, auf Symptomatikbasis(wenn ich also merke, da funktioniert was sehr seltsam oder gar nicht mehr) den oder die betroffenen Clients neu aufzusetzen.

Sein entweder oder kann ich nicht nachvollziehen.
Du kannst ja sowohl den Client neu aufsetzen als auch Dir vorher ne Kopie vom System zu ziehen und den Vorgang in Ruhe zu untersuchen.
Den in einer "Gesamtinfrastruktur" ist es halt auch wichtig, das der jeweilige Mitarbeiter schnellst möglich weiter arbeiten kann.
Und forensische Untersuchungen sollte man eh nicht am offenen Herzen durchführen, während die Malware vielleicht sogar noch aktiv ist und sich irgendwie versteckt. Hier sollte man immer mit Kopien arbeiten.
Und dann kannst Du von mir aus immer noch Virenscanner drüberjagen, um zu gucken, ob da vielleicht ne Infektion war.

 

[RalphS]

Reine Heuristik also? Gut, kann man auch machen. Mir persönlich wär es nichts, aber das heißt natürlich in dem Zusammenhang gar nichts. Wichtig ist nur, daß das Konzept stimmig ist und daß man nicht die sprichwörtliche Türe bis oben verrammelt und vernietet hat und das Fenster daneben angetippt ist.

Ansonsten sind Namen Schall und Rauch. Das einzige was zählt sind Konzepte. Was soll denn zum Beispiel "Malware" sein? Das ist eine schöne Definition für den Anwender "alles was mir schadet" aber für die Absicherung absolut unbrauchbar (es gibt keinen Malwareschutz schon deswegen, weil es keine definierbare Malware gibt). Plus, der Anwender sagt mir "da ist Malware" und ich weiß überhaupt gar nichts. Sogar Bildschirmschoner mit Bluescreen als Grafik fallen da drunter.

Wie Du auf Analyse kommst ist mir auch nicht ganz klar - Zweck der ganzen Übung ist zunächst, Dinge rekonstruierbar zu machen, um überhaupt erstmal analysieren zu können - sonst hab ich den infizierten PC und keine Ahnung, wie das Problem da hingekommen ist und kann deswegen auch null Komma gar nichts tun, weil ich nicht weiß, was ich stopfen soll.

Aber gut, ich denke das wichtigste ist gesagt, direkt und auch zwischen den Zeilen. Sicherheit geht im Kopf los. Wie @snaxilian bereits herausgestellt hat, wird "der PC" nicht automatisch sicher und selbst unter der Annahme, daß wir ihn sicher bekommen, wird davon das Netzwerk nicht sicher. Sicherheit schließt auch die Frage ein, "sicher gegen was". Es gibt verschiedene Ansätze, die man teilweise kombinieren kann und teilweise nicht.

Und auch wenn ich damit jetzt wieder auf viele Füße trete, Sicherheit ist leider nicht immer das, was da überall propagiert wird. SSL ist nicht automatisch sicher und lokales Entschlüsseln von SSL-Verbindungen nicht automatisch unsicher. Nicht alles, was irgendwer im Netz predigt, stimmt auch, das gilt insbesondere auch für irgendwelche Forenuser bei CB wie zB @RalphS. Man muß sich ein bißchen mit der Materie befassen und muß natürlich auch ein paar (verschiedene) Meinungen einholen.

Aber es soll halt immer bequem sein, und wenn auch sonst schon nichts hängenbleibt: bequeme Sicherheit gibt es nicht und kann es auch nicht geben, weswegen jeder Versuch in dieser Richtung bereits im Ansatz Scheitern muß und entsprechend gewertet werden sollte. Biometrie ist bequem, egal ob Fingerprint oder FaceID. Microsofts Anmeldemechanismus ganz ohne Passwörter ist bequem. Lets Encrypt ist bequem und an oberster Stelle der Anwender ist erst recht bequem. Dinge, die schnell zu entschlüsseln gehen, sind auch bequem, ebenso wie Standardpaßwörter und vieles anderes mehr.
Entsprechend muß man dann die Augen aufknöpfen und fragen, okay wenn es bequemer wird, was kostet es mich dann an Sicherheit und bin ich bereit das zu bezahlen?

Dabei dann auch ausreichend offen an die Problematik rangehen. Auch mal akzeptieren, daß ein Aspekt durchaus "richtig"(oder "falsch"!) sein kann, auch wenn man von Grund auf anderer Überzeugung ist. "Das haben wir immer schon so gemacht" war und ist noch nie ein gültiges Argument gewesen. Einer dieser Aspekte ist, zumindest soweit es mir immer wieder auffällt: Bordmittel reichen aus, ja. Mehr aber nicht. Auf dem Fußboden schlafen (Bordmittel) reicht auch aus, dann braucht man keine Drittanbieterhardware (Bett). In den allermeisten Fällen wird man aber nach eingehender Recherche feststellen, daß Spezialisten die Generiker auf ihrem spezifischen Gebiet immer schlagen werden und daß sogar weitergehend die kleineren Unternehmen sehr viel leistungsfähiger sind als die größeren, obwohl diese auf mehr Ressourcen zurückgreifen können. "Defender und nichts anderes ist mehr erforderlich" kann man da fast schon als Studie verstehen, wieviel "fragwürdig" man in wenigen Worten unterbringen kann.