Die Krux mit der Windows 10 Sicherheit

Computer und Sicherheits-Wissen Artikel 28


Tech-Writer Uwe

Tech-Writer Uwe am 14.02.2017



Gesamt: 1030
Dieses Jahr: 523
Diesen Monat: 19
Diese Woche: 8
Heute: 1


Microsoft und auch ein Großteil der Medien argumentieren mit der Notwendigkeit eines Updates von alten Windowsversionen (XP, Vista, Win7 und Win8) auf Windows 10, um die Sicherheit gegen Angriffe zu Erhöhen. Insbesondere wird immer auf die Einstellung des Supports (Sicherheitsupdates und Patches) bei alten Windowsversionen hingewiesen und eine riesige Panikkugel geschoben. Berufsbedingt wenden sich viele Kunden auch mit diesem Fragen an mich und ich will allgemein versuchen einige Punkte aus meiner beruflichen und privaten Erfahrung nochmals zu sammeln.


Copyright und Lizenz: Selbst erstellte Grafik zum Blog über Sicherheit.

Zunächst habe ich in der Verbreitung von Viren (Anzahl und Häufigkeit) unter alten Windows XP bis Win7-Systemen gegenüber Windows 10 keinen Unterschied festgestellt. Trotzt der Einstellung von Sicherheitspatches bei Windows XP ist das System nicht mehr oder minder befallen als die aktuellen Version Windows 10. Was bringen also die ganzen neuen Sicherheitsfeatures (Secure-Boot, Zertifikate, Smartscreen-Filter und Defender, Sicherheitspatches, etc.) bei Windows 10 dem normalen Anwender? Nach meiner Erfahrung absolut nichts. Viren, Würmer und Trojaner finden immer noch den Weg auf den heimischen PC und können großen Schaden anrichten.

Nachdem der Support von Windows XP eingestellt wurde, habe ich alte XP-Laptops ohne Virenscanner Kindern überlassen, die ausschließlich mit Firewall, Firefox und Scriptblocker (NoScript) über Jahre hinweg im Internet unterwegs waren. Ein paar klare Anweisungen an die Kids und es war bis zum heutigen Tag (2017) noch KEIN EINZIGER Virus auf den alten XP-Laptops. Keine Probleme und keine Infektionen. Wer eine Hand voll Regeln im Umgang mit Windows und Internet einhält kann auch mit XP wie gewohnt arbeiten. Unabhängig von diesem Testergebnis empfehle und installiere ich Kunden Windows 7 OHNE VIRENSCANNER. Mit der genannten Konfiguration haben die Kunden auch keinerlei Sicherheitsprobleme mit ihren PCs. Wozu das große Gerede über Sicherheitspatches?

Warum werden die Anwender von alten Windowsversionen so verunsichert?

Windows XP bis Windows 7 waren eher reine Offlinebetriebssysteme und mit der richtigen Konfiguration und Firewall konnten Drittanbieter das eigene Verhalten nicht so komfortabel verfolgen und auswerten, wie es seit Windows 8 der Fall ist. Meiner Meinung nach taugen auch die ganzen „Privacy-Einstellungen“ unter Windows 10 nichts. Selbst wenn ich alles Deaktiviere, ist nach einiger Zeit oder einem Update ein Großteil wieder Aktiviert. Insbesondere bei Windows 10 ist mir aufgefallen, dass viele festgelegte Optionen irgendwie nach einiger Zeit wieder verloren sind bzw. keine Wirkung / Änderung zeigen. Teils erscheint es mir so, dass die Einstellungen schön dargestellt werden aber im Hintergrund keinerlei Bedeutung haben.

Im Gegensatz zu den älteren Windowsversionen ist Windows 10 sehr stark auf ONLINE-Funktion (Onlinekonto, Zwangsupdates und vorinstallierte APPs sowie Cloud) ausgerichtet. Windows 10 bietet Microsoft, Drittanbietern und Geheimdiensten eine simple Möglichkeit der totalen Onlineüberwachung der Anwender. Microsoft kann und wird nie ein sicheres System anbieten können und gefährdet mit Windows 10 die persönlichen Daten mehr als je zu vor. Zukünftig soll Windows 10 vermutlich als reines gestreamtes ONLINE-Betriebssystem angeboten werden. Alles was der Anwender am PC arbeitet und speichert, landet dann in der Microsoft-Cloud.

Die ständige Onlineverfügbarkeit und Auswertung in Windows 10 trägt sicher auch vielen kommerziellen Interessen Rechnung, wie es bis Windows 7 nie denkbar gewesen wäre. Microsoft versucht mit aller Kraft und Gewalt Windows 10 zu verbreiten. Meiner Meinung nach werden dabei auch die Hardwareanbieter unter Druck gesetzt, nur noch Windows 10 zu unterstützen. Warum diese Zwang? Wer profitiert wirklich von Windows 10?

Wie sieht es mit den Windows 10 Sicherheitsfeatures aus?

Microsoft bringt in Windows 10 viele Sicherheitsfeatures Onboard mit. Zum einem der bereits aus älteren Windowsversionen bekannte Windows Defender (alternativer Virenschutz), diverse Zertifikats- und Prüffunktionen für Software und Treiber sowie den Smartscreen-Filter und Secure-Boot.

Secure-Boot

Secure-Boot soll Schadsoftware daran hindern, in den Bootvorgang des PCs einzugreifen, um Sicherheitsmechanismen des Betriebssystems zu umgehen.

Mehr hinderlich als nützlich. Zumindest verhindert er wirkungsvoll die Verschlüsselung der Betriebssystemfestplatte mit Produkten von Drittanbietern. Ausschließlich Bitlocker von Microsoft wird unterstützt und zeigt insbesondere während Windows-Update, dass die Verschlüsselung nicht sicher ist. Wozu Secure-Boot? In den Medien wird nur geschrieben wie toll und sicher es ist. Mich würde interessieren, ob es wirklich die Sicherheit erhöht. Zumindest im Deepweb gab es schon Anleitungen, wie Secure-Boot geknackt werden kann. Meiner Meinung nach ist Secure-Boot nur dazu da, die Vollverschlüsselung der Betriebssystemfestplatte zu unterbinden und somit Dritten uneingeschränkten Zugriff zu ermöglichen. Ferner laufen alternative Betriebssysteme (z. B. Linux) nur noch mit erheblichem Aufwand oder gar nicht mehr auf dem PC. Was hat der Kunde von diesem Sicherheitsfeature?

Windows Defender bei Windows 10

Inzwischen empfehlen immer mehr Fachleute auf Virenscanner zu verzichten, weil sie das System mehr gefährden als Schützen. Aus diesem Grund finde ich es auch negativ, dass der Windows Defender sich nicht dauerhaft ohne tieferes Zutun deaktivieren lässt. Sinnvoll oder zeitgemäß sind diese Systeme nicht mehr und verfehlen im Alltag zu oft ihr Ziel. Nur der geringste Teil an Schadsoftware kann durch Antivirensoftware bekämpft werden.

Zertifikats- und Prüffunktionen

Seit der Einführung des 64bit Betriebssystem Windows Vista, zwingt Microsoft die Treiberhersteller zu einer digitalen Signatur ihrer Treiber. Die Hersteller von Windows-Treibern für Hard- und Software benötigen dazu ein spezielles Zertifikat von einer CA (Certificate Authority), die mit einer hohen jährlichen Gebühr versehen ist. Windows lädt keine Treiber, die nicht von einer offiziellen und Microsoft anerkannten CA unterschrieben sind. Diese Treibersignatur macht es kleinen Entwicklern wegen der jährlichen Kosten immer schwerer Software zu entwickeln. Ab Windows 10 müssen die Treiber noch zusätzlich von Microsoft verifiziert werden, was nochmals eine erhebliche Gebühr und auch Zensur gegen Konkurrenten beinhaltet. Schadsoftware wird mit der Verwendung von digital signierten Treibern nicht eingeschränkt, aber die Vielfalt der Produkte auf dem Markt. Neben der Tatsache, dass Microsoft und CAs hier mächtig Geld mit machen, schafft es keinen Mehrwert an Sicherheit.

Hacker können beispielsweise mit kostenloser Software oder über Webseiten sogenannte „Selbstsignierte Zertifikate“ in die ROOT-Datenbank von Windows eintragen. Davon bekommt der Anwender nichts mit und anschließend können Webseiten selbstsignierten Schadcode ausführen bzw. Schadsoftware wird als gültig signiert beim Ausführen angezeigt.

Smartscreen-Filter

Den Smartscreen-Filter gab es bereits unter Windows 7 im Internet Explorer. Dieser Prüft zum einen Webseiten auf ihrer Seriosität und zum anderen heruntergeladene APPs auf einer Whitelist. Die Whitelist wird von Microsoft verwaltet. Alle APPs, die nicht auf dieser Whitelist stehen, werden als potentiell gefährlich eingestuft und von einer Ausführung abgeraten. Entwickler können ihr Angebot kostenpflichtig verifizieren lassen, um auf die Whitelist von Microsoft zu gelangen. Ab Windows 10 ist der Smartscreen-Filter Bestandteil des Betriebssystems und nicht mehr auf den Internet Explorer beschränkt. Wer unter Windows 10 APPs beispielsweise mit Google Chrome oder Firefox downloadet, lernt ebenfalls den Smartscreen-Filter kennen. Dieser warnt auch aus anderen Browsern den Anwender, das die Software potentiell schädlich ist und nur nach einem Klick auf „Weitere Informationen“ kann der Anwender die APP installieren.

Es ist beängstigend, wie ein Unternehmen Microsoft durch scheinbare Sicherheitsfeatures Geld auf Kosten der kleinen Entwickler macht und auch die Möglichkeit der Zensur bekommt.

Sicherheit nur mit gesundem Menschenverstand!

Sicherheit kann nicht automatisiert von angreifbaren Systemen gewährleistet werden. Warum prüfen Virenscanner dauerhaft den lokalen PC auf Schadsoftware? Wenn der PC sauber ist, macht diese Funktion außer Überwachung und Nutzerverhaltensanalyse keinen Sinn. Frag dich selber, wie Schadsoftware auf den PC gelangen kann? In der Regel nur durch Downloads aus dem Internet, externe Datenträger (CDs und USB-Sticks) und Emails oder vergleichbarer Kommunikationsprogramme. Wenn ein Haus sicher ist, reicht es Türen und Fenster zu schließen, um unangenehme Gäste fernzuhalten. Dies würde auch beim PC reichen, wenn die Türen und Fenster bekannt sind. Leider bringt Windows 10 zahlreiche versteckte Fenster und Geheimgänge, die der Nutzer nicht mehr schließen kann. In den vorrangegangenen Blogs habe ich bereits die Schwachstellen aufgeführt und wie man sich dagegen einfach ohne Virenscanner schützen kann.

Warum konzentrieren sich die Sicherheitsfeature nicht auf die Türen und Fenster sondern eher auf den Wohnraum? Neugier? Wirtschaftliche Interessen? Zensur?

Wie Eingehens bereits geschrieben, reicht ein sicherer Browser mit Script – Blocker, um den PC vor Schadsoftware und Überwachung zu schützen. Unbekannte Dateien und APPs können beispielsweise ONLINE über „virustotal“ tagesaktuell geprüft werden. Firefox prüft beispielsweise nach einem Download standardmäßig auf Schadcode.

Ich bin der Meinung, dass ein bewusster Umgang mit dem PC reicht, um diesen zu schützen. Mit Windows 10 verliert der versierte Anwender alle Kontrollmöglichkeiten, um dieses abzusichern. Insbesondere die Werbung für die hohe Sicherheit bei Windows 10 macht weniger informierte Anwender leichtsinnig und damit angreifbar.

Fazit:

Alle Sicherheitskonzepte von Windows 10 sind mit enormem Aufwand und Kosten für Entwickler von APPs versehen. Diese Konzepte werden auf Dauer die bunte Vielfalt und Alternativen auf wenige große Anbieter reduzieren.

In Ansätzen sind einige Konzepte sinnvoll, wenn sie von einer unabhängigen Organisation geführt werden. Das Modell des Smartscreen – Filters (Whitelist), könnte durch Anwendererfahrung in einer Datenbank zentral zur Prüfung kostenlos gepflegt werden. Besser vorkonfigurierte Browser, die bei unbekannten Seiten aktive Elemente unterbinden, die Schadcode auf dem PC installieren können.

Emailclients und Kommunikations-APPs, die beim Empfang Anlagen automatisch zentral auf SPAM und Schadcode untersuchen.

Die momentanen Konzepte suggerieren dem Anwender nur Sicherheit. Microsoft hat bereits den mobilen Handymarkt verloren, weil Windows 10 einfach zu fett und lahm für günstige Hardware ist und der Microsoft-Shop durch gähnende Leere glänzt. Immer mehr Windowsentwickler wechseln von Windows auf den Android-Markt. Android ist zwar gleichfalls nicht sicher, bietet aber für alle Seiten günstige und transparente Verfahren.

Impessum des Autor Kontakt zum Autor