[startrek]

Hallo zusammen,

heute ist bei Chip die vollversion von AVG Antivirus hinter dem letzten Kläppchen. Macht es Sinn, dafür Avira Antivir Free zu killen? Ich meine mal gelesen zu haben, dass bei AVG die Erkennungsraten deutlich schlechter sein sollen.

Wünsche Euch ein frohes Fest!

Gruß, Stefan

[javo]

Avira Free wäre das erste was weg wäre, das war immer der beinzige Virenkiller, der den BKa nie erkannt hat,
Was immer nur stört, warum immer eine ganze Internetsecurity installieren, wobei die Firewall von Windows Top ist und bei vielen Programmen Vorteile hat, nur deaktivieren reicht bei vielen Internetsecuritys mist nicht, die klinken sich weit ins system ein,
Übrigens stand auch ein guter Artikel, glaube ich auf chip, der besagte, das Die ganzen Suiten eigentlich die Gefahr vergrössern, wenn sie installiert werden und man dadruch auch keinen sicheren Browser mehr entwerfen kann.

[startrek]

Ihr wollt mir doch nicht allen ernstes erzählen, dass diese Programme das Sicherheitsrisiko erhöhen. Bzgl. SSL meinst Du sicher, dass genau darüber spezialisierte Malware eindringen kann, richtig? Dies soll aber eher die Ausnahme sein, bei dem was ich so lese.

Also Essentials? Hmmm. Zahlen werde ich für Sicherheitssoftware jedenfalls nix.

[startrek]

Wie würde denn ein gutes Sicherheitskonzept Deiner Meinung nach aussehen?

[Gispelmob]

Bei mir sieht es so aus.

1. Verwendung des aktuellten Windows (also kein Win7,Vista,8,8.1)
2. immer aktuelle Windowspatches
3. Commodo Firewall
4. Avira Free AV
5. Spybot SD
6. Spybot Anti-Beacon
7. Browser immer aktuell halten
8. nur die nötigsten Plugins (bei mir nur eines für Free Download Manager und ublock Origin ggf. noch Battlelog)
9. Software und Treiber aktuell halten
10. kein Email Programm auf dem Computer installieren sondern Emails nur im Browser lesen
11. jeden Montag ein Backup aller Festplatten
12. kein Passwort Manager, ich vertraue denen einfach nicht
13. regelmäßig die Cookies im Browser und den Browsercache löschen
15. Onlinebanking und Paypal nur in einem Linux welches in einer virtuellen Maschine läuft
16. bei Firewall Meldungen und Adminrechten nicht nur klicken sondern auch mal lesen was da welche Rechte will
17. keine Software installieren wie Driver Updater oder sowas, vollkommen sinnfrei, erhöht nur die Möglichkeit das System anzugreifen, wichtige Treiber wie z.B. für Grafikkarten kann man selbst updaten
18. keinerlei Java (weder separat installiert noch in Unterordnern)
19. Brain.exe

weiterhin könnte man sich noch sowas wie Sandboxie installieren um Software erstmal zu testen

Man sollte sich klaren sein, dass jegliche Sicherheitssoftware nur auf bekannte Bedrohungen reagieren kann. Wenn etwas noch sehr neu ist hilft keine Suche nach "unbekannten Bedrohungen" oder "intelligente Dateisuche" sondern nur Vorsicht. Und man darf auch nicht, weil man grade keine Lust hat, Schritte in seinem Sicherheitsplan überspringen oder auslassen. Ein Sicherheitskonzept hilft nur wenn man es komplett nutzt.

[startrek]

Danke für die ausführliche Antwort. So weit war ich dann ja garnicht entfernt. Wie dem auch sei- habe das Chip- Angebot mal spasseshalber wahrgenommen. Beim ersten Scan wurde dann auch schon erstmal 1 Bedrohung festgestellt (irgendwas mit "Generic Virus").

Spybot hatte ich neulich auch mal installiert, aber gefunden wurde beim Scan -wie zumindest ich es bei dem Programm gewohnt war- nichts.

Über ein Backup sollte ich allerdings auch mal nachdenken.

Ansonsten: Onlinebanking über stets aktuellem Firefox, Caches bei jedem Herunterfahren gelöscht, Windows 10 sowieso immer aktuell. Aber Driverbooster finde ich schon ziemlich genial. Die sind zwar auch nicht immer up-to-date, aber ist mir egal. Ist einfach zu bequem.

Nochmal Danke Euch allen

Dieser Beitrag wurde von startrek bearbeitet: 24. Dezember 2016 - 15:36

[startrek]

Wahnsinn..... verstehe davon nur die Hälfte. Hat für mich als "Normalnutzer" schon fast ein wenig den Anschein, als wenn Du mit Kanonen auf Spatzen schiesst.

Zum Thema Mails kann ich noch sagen, dass ich mich immer ohne Mailclient direkt beim Provider anmelde.

Dieser Beitrag wurde von startrek bearbeitet: 24. Dezember 2016 - 21:52

[Gispelmob]

Das ist wesentlich besser als sich die Mails auf den Rechner zu laden und darauf zu vertrauen dass es keine Bugs gibt mit denen automatisch Anhänge geöffnet werden. Gute Provider filtern Spam gleich raus oder löschen zumindest verseuchte Anhänge. Gibt aber auch welche bei denen man den ganzen Müll ohne Filterung bekommt.

Zitat (d4rkn3ss4ev3r: 24. Dezember 2016 - 15:56)

# Weder Java, noch Flash installiert

Ach das hatte ich vergessen. Dank den aktuellen Browsern die HTML5 können braucht man auch kein Flash mehr. Webseiten die noch Flash verwenden gehören gesperrt.

[Wiesel]

Eine Firewall ist nur dann als sicher einzustufen wenn sie VOR dem zu schützendem Rechner sitzt und nicht AUF dem zu schützendem. Im Falle eine Kompromittierung findet die sonst nämlich erst auf dem zu schützendem Rechner statt und wird nicht schon vorher geblockt.

Auch dass nur Windows 10 als sicher einzustufen ist halte ich zumindest für bedenklich. So lange es für Windows 7 noch Sicherheitsupdates gibt, gibt es nichts was gegen den Einsatz von 7 spricht.

Spybot und Konsorten sind immer das letzte Glied in der Kette. Man darf es gar nicht erst soweit kommen lassen dass Schadsoftware überhaupt auf dem Rechner landet. Und das schaffst du nur mit ein wenig Verstand.

Hier im Sicherheitsforum gibt es einige Threads die sich seitenweise um Sicherheitskonzepte drehen. Dies hier ist ein weiterer ohne dass, meiner Meinung nach, DIE richtige Konfiguration am Ende steht. Das ganze muss von jedem User als Konzept begriffen werden welches viele Möglichkeiten bietet, aber NIE auf den Einsatz einer bestimmten Software begrenzt werden darf.

[RalphS]

Zitat (Gispelmob: 24. Dezember 2016 - 15:04)

Bei mir sieht es so aus [...]

Das ist aber kein Sicherheitskonzept. Bestenfalls ist es die *Umsetzung* eines solchen und kriegt somit erst Wert, wenn Du dieses auch noch dazuschreibst.

Beispielsweise könnte man so rangehen:

- Hauptaugenmerk: Traffic muß kontrollierbar sein, und diese Kontrolle muß ebenfalls kontrollierbar sein who watches the watchmen?)

In Ableitung entstehen dann Teilkonzepte:
- Lokale Lösungen sind aus Kernaufgaben raus. Die kann man nämlich nicht ohne Weiteres überwachen. Sie sind aber erforderlich, falls nachweislich der Rest versagt hat, besteht so eine reelle Chance, daß trotzdem alles gut geht.

- In weiterer Ableitung davon sind Schutzsysteme, die hintereinandergeschaltet sind, unbedingt(!) von verschiedenen Herstellern einzusetzen: Wenn eine Malware nachweislich von zB Windows Defender nicht erkannt wird, dann kann ich hundert Defender hintereinanderschalten und dann läuft die Malware eben durch alle hundert.

Weitergehend:

- DNS-Anfragen so gerichtet wie möglich. Dann kann ich nachkontrollieren, wann wer welchen Traffic wo abgerufen hat, ohne jede einzelne Kiste abfragen zu müssen UND DNS-Spoofing bereits im Keim zu ersticken.

- Mögliche Umsetzung (beispielhaft):
>> Eigenen DNS-Server oder Forwarder wie Fritzboxen als DNS-Server auf den Netzwerkknoten eintragen
>> In der Firewall Regeln so anlegen, daß da sinngemäß:
# allow tcp from any to <dns server> port 53
# deny tcp from any to any port 53
drinsteht. Wenn jetzt eine Malware herkommt und DNS am Client umbiegt, kriegt der Client "NXDOMAIN" statt kompromittierte Website.

- Einsatz eines Proxyservers mit Authentifizierung.
- Hier muß jetzt natürlich erstmal ein Authentifizierungs- und Zuordnungssystem geplant werden. Wenn man das richtig macht, hat man aber am Ende seinen Netzzugang (nach Internet) so abgesichert, daß diejenigen Benutzer "rein" dürfen, die auch wirklich reindürfen sollen, und alle anderen draußen bleiben.

- Con: Versagt, wenn man nur mit Konto "Administrator" unterwegs ist.


Und so weiter, und so weiter.

Kurz, das Ding heißt nicht Konzept, weil man sich AV-Software installiert und auf Auto stellt (dann kann man die auch gleich weglassen).

Das Ding heißt Konzept, weil man sich hinsetzt und erarbeitet, was einem wichtig ist und darauf aufbauend wie man das schützen will. Der Rest ist Implementierung.

Insbesondere:
> "Geprüft wird on-write, dafür verzichten wir auf on-read" kann Teil eines Konzeptes sein.
> Das hat aber Vorbedingungen und wenn diese nicht sichergestellt werden können, ist das wertlos. Scan-on-write-only kann man auf allen Systemen vergessen, wo man nicht sicher sein kann, ob da schon Viren drauf sind oder nicht und WENN (bekanntermaßen) welche drauf sind ist "scan-on-write-only" absurd.

> Dasselbe gilt analog für scan-on-read-only. Sowas kann man machen, wenn man massiven Datenbestand hat auf zB einem Fileserver und man vertraut dem aber nicht. Kurz, wenn es einfach keine Write-ops gibt, wo man prüfen könnte. Scan-on-read-only sagt aber eben auch, daß für Viren alle Türen offen stehen, um auf das System zu gelangen; diese werden dann aber beim Versuch, daß jeweilige Objekt auszuführen, erkannt und entfernt (wenn alles richtig läuft).

WAS man dann dazu nimmt, ist wurst.

Außer brain.exe. Die kann bestenfalls Teil des tertiäres Konzepts sein. Klar kann man sagen, ich klick nur da drauf wo ich weiß da ich da draufklicken kann; aber wenn da jetzt ne Mail von meiner Bank im Briefkasten liegt und da steht auch mein Name drin als "Sehr geeehrter...", dann hab ich Pech gehabt, wenn die gefälscht war. Oder wenn ich einfach danebengeklickt hab aus Versehen. "Brain.exe verwenden" ist KEIN Konzept.

Im Gegensatz dazu kann man aber durchaus Konzepte entwerfen, die ohne AV-Software auskommen: zB indem man per GPO USB-Schnittstellen blockiert (ggf andere, soweit vorhanden) auf einem Rechner, der keinen Zugriff aufs Netzwerk hat. Wie sicher das am Ende ist, muß man sich natürlich selber überlegen - wieder auf Basis von "was ist mir wichtig".

---

Ich sollt mir in Anbetracht der Liste da oben vielleicht auch noch die Zeit nehmen, das zu kommentieren. Ein bißchen ungern, aber ich denke auch, daß man das nicht so wortlos stehen lassen sollte; immerhin ist so ein Forum nicht für die Gegenwart ausgelegt, sondern insbesondere für die zukünftigen Besucher. Daher hier möglichst kurz umrissen:

Zitat

1. Verwendung des aktuellten Windows (also kein Win7,Vista,8,8.1)

Soweit ein Windows EOL-Status erreicht hat, sollte es für ein integres Sicherheitskonzept vom System fliegen. Einfach deswegen, weil man besagte Integrität nicht mehr hat. Nicht daß jetzt zB Windows XP von heut auf morgen so sicher wie ein offenes Scheunentor wäre (entgegen oft anderslautender Berichte dazu); das Problem ist stattdessen, daß ein OS mit Status "EOL" nicht mehr angeschaut wird vom Hersteller und daß Mitarbeiter (egal wie entfernt von MS die sind) nicht mehr darauf geschult werden. Problem? "Na und". Für eine sichere Umgebung untragbar. Ansonsten "verfällt" hat das OS mit der Zeit. Jeder Tag, der vergeht, mag eine neue Sicherheitslücke gefunden werden... von der wir niemals mehr erfahren werden.

Hat ein OS den Status EOL aber noch nicht, kann man es bedenkenlos einsetzen, egal wie lang es auf dem Markt ist. An dieser Stelle wäre vom "neuesten", also jüngsten OS eher abzuraten: zu kurz ist die Zeit, als daß man kritische Dinge hätte finden können. Rolling Releases sind für sicherheits"optimierte" Umgebungen raus. Die *können* nicht auf Integrität geprüft werden und sind daher per definitionem kompromittiert. Dazu gehört auch Windows 10 - nicht weil es Windows 10 "ist" (von der Implementierung her") sondern weil es als Rolling Release vertrieben wird.

Mit 7 oder 8.1 sollte man bei Windows auf der sicheren Seite sein, rein von der Plattform her. Natürlich reicht der simple Einsatz von "dieser" oder "jener" Windowsversion bei weitem NICHT aus, das ist nur die Grundlage.

Zitat

2. immer aktuelle Windowspatches

Für ein integres System unerläßlich. Leider fährt das Microsoft grad selber irgendwie an die Wand. Insbesondere für 10 sind Patches nicht mehr prüfbar. Leider.

Zitat

3. Commodo Firewall

Kann man machen. Muß man aber nicht. Gibt genug Anbieter. Für ein integres System geht Sicherheit vor Bedienkonzept und UI-Aussehen. Testberichte sehen das oft anders, also erstmal lesen, ob die 5/10 daher stammen, daß 10/10 Bedienung und 0/10 Sicherungsleistung sind... oder andersherum... oder beides fifty-fifty war.

Zitat

4. Avira Free AV

Hat in einem Sicherheitskonzept nichts zu suchen.

Zitat

5. Spybot SD

Siehe oben

Zitat

6. Spybot Anti-Beacon

Siehe zwei oben und eins drunter.

Zitat

7. Browser immer aktuell halten

Analog zum Betriebssystem. Für Browser ist entsprechend auch die Frage, ob und inwieweit das supported wird und ob man von diesem Support ggf auch Gebrauch machen kann... und es tatsächlich tut). NB: Dem Developer daß ins TRAC eintragen und binnen einiger Tage nen Patch zur Verfügung haben zählt da selbstverständlich auch dazu. Dem Developer das ins TRAC eintragen und der reagiert aber nicht... das zählt dann nicht mehr dazu.

Zitat

8. nur die nötigsten Plugins (bei mir nur eines für Free Download Manager und ublock Origin ggf. noch Battlelog)

Wenn man hier als Konzeption "Angriffsfläche vermindern" zugrunde legt, ist man auf dem richtigen Weg. Note: Bringt natürlich überhaupt nichts, wenn auf derselben Kiste außerdem noch hunderte kompromittierbare Serverdienste laufen. Extra Note: Erweiterungen haben signiert zu sein, damit ich weiß daß ich wen verantwortlich machen kann und nicht irgendwelche Malware installier die sich zufällig-mit-Absicht (auch) ublock nennt.

Zitat

9. Software und Treiber aktuell halten

So-So. Je nach Konzept. Definitiv nicht allgemeingültig. Software und Treiber installieren und einfrieren ist nicht minder richtig (oder falsch) mit dem entsprechenden Konzept dahinter. Erweiternd: Soweit eine Software das Sicherheitskonzept berührt, sind zumindest relevante Sicherheitspatches DAFÜR einzuspielen: Eine Software, die nachweislich kompromittiert ist, brauch ich nicht einzusetzen, um Kompromittierung entgegenzuwirken. Das wäre albern.

Zitat

10. kein Email Programm auf dem Computer installieren sondern Emails nur im Browser lesen

Kann man machen mit dem entsprechenden Konzept. Generell sind aber Mailclients als spezialisierte Zugangssoftware sicherer. Browser als Mailclient sind nur sehr schwer zu verifizieren - angefangen bei der Prüfung von Absendern und Empfängern, denn schon das kann man über Scripting vertuschen. Bei Mailclients geht das nicht mehr, da ist sowas gar nicht erst implementiert.

Zitat

11. jeden Montag ein Backup aller Festplatten

Backup muß sein. Wann und wie muß man sich überlegen. "Alle Festplatten" müssen es nicht (notwendigerweise) sein, wenn man in der Lage ist, sich sein System in unabhängige Teilbereiche aufzuteilen (ich würde es "partitionieren" nennen, würde aber erwartungsgemäß mißverstanden werden).

Zitat

12. kein Passwort Manager, ich vertraue denen einfach nicht

Paßwörter sind so ein Fall für sich. Definitiv eine Sache, die man konzeptualisieren muß, bevor man da rangeht. Hier spielt auch viel zuviel rein, wo man selber keine Kontrolle mehr drüber hat; zu sagen, daß ein Paßwort nicht einfach zu lesen ist, ist wurst, wenn die Gegenstelle MD5 verwendet und binnen Momenten das über Rainbow Tables raus hat.
Ich selber verfolge an dieser Stelle den Grundsatz, daß Logins möglichst nicht vernetzt werden können sollen (soweit das umsetzbar ist). Dazu gehören individuelle Benutzernamen und Paßwörter für jedes einzelne Login, damit nicht ein erbeutetes Login für alle anderen Websites verwendet werden kann; und weil man sich das natürlich nicht alles merkt, wer wie wann wo mit wem in Verbindung steht oder gebracht werden kann (insbesondere: Email-Logins) sind die alle per PW-Generator erstellt. Das bringt seinen eigenen Risikofaktoren mit, ich denke aber, selber ist man faktisch nicht in der Lage, sich kontextfrei 20-und-mehr-stellige Paßwörter auszudenken. Besonders, wenn diese noch verschieden voneinander sein sollen. Da lieber laß ich Keepass ran und sag dem, ich will ein 60stelliges PW aus diesen-und-jenen Zeichenklassen für meinen MS-Account haben. Das hat dann seine 70-oder-was Tage Gültigkeit und dann gibt es eben ein neues.

PWs verhalten sich da wie Safes: Knacken kann man sie alle, die Frage ist nur, in welcher Zeit. Entsprechend sind die Systeme die bessere Wahl, die Paßwortwechsel so forcieren, daß das erste Paßwort nicht zu knacken ist, bevor das neue zwangsläufig angewendet werden MUß.

Aber wie gesagt, zuviel entzieht sich da der Kontrolle. Wir wissen nicht, was der jeweilige Dienst als PW-Speichersystem einsetzt, und ich lehn mich mal aus dem Fenster und behaupte, daß MD5 hier noch sehr viel verbreiteter ist, als uns lieb sein sollte.

Zitat

13. regelmäßig die Cookies im Browser und den Browsercache löschen

Für Sicherheit irrelevant.

Zitat

15. Onlinebanking und Paypal nur in einem Linux welches in einer virtuellen Maschine läuft

Insoweit einsetzbar, wenn besagte VM keinen Zugang zum restlichen LAN hat. An dieser Stelle kann man aber auch Windows einsetzen, allem Anschein zum Trotz. Protip: Verifizierten Snapshot haben, online gehen, Geschäfte tätigen und hinterher wieder auf den Snapshot zurücksetzen.

Note: Hat die VM Zugang zum LAN und ist dieser insbesondere auch noch ungefiltert, dann kann man sich die VM auch sparen.

Zitat

16. bei Firewall Meldungen und Adminrechten nicht nur klicken sondern auch mal lesen was da welche Rechte will

Zählt unter brain.exe. Sollte man tun, aber wenn mehr dran hängt, macht man was falsch. Möglichkeit A: Dafür sorgen, daß man nicht einfach Admin werden kann. Umsetzung: per GPO anweisen, daß auch Administratoren mit Benutzername und PW authentifiziert werden müssen. Dann kann ich nicht einfach JA klicken, sondern ich muß das aktiv bestätigen. Das ist Zeit, die in den allermeisten Fällen für den extra Moment Überlegen ausreicht.
Und Möglichkeit B, Administratorzugang verweigern.

Zitat

17. keine Software installieren wie Driver Updater oder sowas, vollkommen sinnfrei, erhöht nur die Möglichkeit das System anzugreifen, wichtige Treiber wie z.B. für Grafikkarten kann man selbst updaten

Fällt in das Konzept "unnötige Angriffsfläche mindern".

Zitat

18. keinerlei Java (weder separat installiert noch in Unterordnern)

Siehe eins drüber. Note: JAVA explizit nicht installieren ist bereits overkill. Besonders, wenn irgendwelche Software das braucht. Inzwischen lassen sich die JAVA-Plugins übers JAVA-Control Panel deaktivieren und wenn man dem nicht vertraut, kann man die zugehörigen DLLs entfernen. Das ist vollkommen ausreichend.

Zitat

19. Brain.exe

Siehe irgendwo oben.

Dieser Beitrag wurde von RalphS bearbeitet: 27. Dezember 2016 - 22:21