Schon von Haus aus stecken einige interessante Abwehrfunktionen gegen Malware in Windows - aber einige wollen erst eingeschaltet werden. Wenn das nicht reicht, bietet eine Sandbox einen praktischen Extra-Schutzwall für Programme, denen Sie nicht ganz über den Weg trauen.
Vorsorge macht das Leben leichter - das gilt auch in der IT. Dazu gehört nicht nur, stets ein aktuelles Backup zur Hand zu haben. Ein nach Ihren Bedürfnissen zusammengebautes c't-Notfall-Windows leistet erste Hilfe bei kleineren und auch größeren PC-Unfällen.
Im Falle eines Falles ist das vom USB-Stick startende c't-Notfall-Windows Ihr Universalwerkzeug - sei es bei Startproblemen, bei vergurkten Updates oder auch bei Virenbefall.
6 Aktion: heise-Academy-Kurs "Windows-Sicherheit - Der Praxiskurs: Schutzfunktionen richtig einsetzen"
Mehr Sicherheit mit wenigen Handgriffen
Windows ist in seiner Grundkonfiguration nicht einmal halbwegs sicher. Das System bringt einige Funktionen mit, die die Lage bessern - Sie müssen sie aber erst aktivieren. Hier geben wir einen Überblick, welche Funktion eigentlich was macht.
Von Jan Schüßler
Bild: Andreas Martini
So mies der Ruf von Windows in Sachen Sicherheit auch ist: Microsoft hat ein paar Funktionen eingebaut, um die inhärenten Sicherheitsprobleme zu entschärfen. Manche wie Virenwächter und Firewall sind immer serienmäßig aktiv, andere nur manchmal - und wieder andere wollen gezielt aktiviert werden oder eignen sich nicht für jeden Nutzer. Auch mit den Bezeichnungen tut Microsoft sich keinen Gefallen: Zuverlässigkeitsbasierter Schutz, SmartScreen, Smart App Control, Manipulationsschutz, Application Guard - wer soll denn da den Überblick behalten? Wir klamüsern das Wirrwarr einmal auseinander.
Das Gros der Sicherheitsfeatures hat Microsoft immerhin zentral in einer App zusammengefasst. Die gibts in Windows 10 und 11 und sie heißt einfach "Windows-Sicherheit". Die wichtigste Rubrik darin hat den Namen Viren- und Bedrohungsschutz. In den "Einstellungen für Viren- und Bedrohungsschutz" finden Sie vier Schalter: erstens für die Live-Wächterfunktion ("Echtzeitschutz"), auch On-Access-Scanner genannt; zweitens für die Cloudunterstützung, die in Verdachtsfällen bei Microsoft anfragt, ob ein Verdacht begründet ist; drittens für die Erlaubnis, unbekannten und verdächtigen Programmcode bei Bedarf zur Analyse an die Microsoft-Cloud zu schicken ("Automatische Übermittlung von Beispielen"); viertens für den "Manipulationsschutz". Der bewirkt, dass zum Abschalten der anderen drei Funktionen Administratorrechte nötig sind. Wir empfehlen, stets alle vier Optionen aktiviert zu lassen. Ausnahme: Wenn Sie Softwareentwickler sind, sollten Sie die automatische Beispielübermittlung abschalten. Anderenfalls könnte jede neue Programmversion, die Sie kompilieren, ungefragt bei Microsoft landen.
Erpressern in den Arm fallen
Außerdem finden Sie unter "Viren- und Bedrohungsschutz" den "Ransomware-Schutz", auch "überwachter Ordnerzugriff" genannt. Nach unserem Eindruck ist diese schon einige Jahre bestehende Funktion zuerst in Verruf und dann in Vergessenheit geraten, weil sie sich mitunter sperrig verhält. Ist sie aktiv, dürfen nur als unschädlich bekannte Prozesse in Ihren Dokumentenordnern schreiben. Wird ein Erpressungstrojaner (Ransomware) aktiv, hindert die Funktion ihn daran, Ihre Dateien zu verschlüsseln.
Wenn Sie den Ransomware-Schutz verwenden, müssen Sie damit rechnen, dass er gelegentlich dazwischengrätscht, wenn Sie eine Datei speichern oder ändern wollen - und zwar dann, wenn Windows das Programm, mit dem Sie arbeiten, (noch) nicht als harmlos erkennt. Das kann bei eher unbekannten oder hoch spezialisierten Programmen passieren, aber auch nach einem Update einer gängigen Software. Sofern Sie sich sicher sind, dass das fragliche Programm harmlos ist, gewähren Sie ihm per "App durch überwachten Ordnerzugriff zulassen" Schreibrechte. Außerdem können Sie mit einem Klick auf "Geschützte Ordner" zusätzliche Orte angeben, für die der Ransomware-Schutz ebenfalls greifen soll.
Streng genommen ist diese Funktion kein echter Virenschutz, denn sie hindert den Nutzer nicht daran, schädlichen Code zu starten. Die Idee, beliebige Prozesse nicht kommentarlos in die eigenen Dateien schreiben zu lassen, ist allerdings gut und durchaus eine sinnvolle zusätzliche Schutzschicht. Unsere Empfehlung: Einschalten und schauen, wie sich der Ransomware-Schutz in Ihrem Alltag schlägt. Nutzen Sie nur wenige und stark verbreitete Software, stehen die Chancen gut, dass Sie ihn im Alltag gar nicht bemerken. Nehmen die Arbeitsunterbrechungen durch neue Programmversionen doch überhand, schalten Sie die Funktion einfach wieder ab - einen Versuch war es wert.
Eine Selbstverständlichkeit
Eine Firewall ist ein Grundpfeiler eines sicheren Betriebssystems. Sie schützt das System vor unberechtigten Zugriffen aus dem Netz. Die Windows-Firewall muss im Alltagsbetrieb nicht angefasst werden; nur bei wenigen Programmen fragt sie einmalig, ob Sie der Software die Verbindung mit dem Internet erlauben möchten.
Manuelle Eingriffe in die Firewall-Konfiguration brauchen Sie nur in Spezialfällen, wenn Sie zum Beispiel Netzwerkdienste konfigurieren oder unter bestimmten Bedingungen nur einzelnen Prozessen den Internetzugriff erlauben möchten - ein Beispiel für Letzteres lesen Sie in [1].
Ob die Firewall aktiv ist, sehen Sie in der App "Windows-Sicherheit" unter "Firewall und Netzwerkschutz". Dort können Sie sie mit einem Klick auf "Standard für Firewalls wiederherstellen" auch auf Werkseinstellungen zurücksetzen. Das kann praktisch sein, wenn Sie die Einstellungen einmal durch falsche oder zu viele händische Eingriffe kaputtgespielt haben. Hier droht eine Falle: So manche Anwendung, die ganz legitim ein Loch in der Firewall braucht, fragt Sie zwar, ob Sie das zulassen wollen. Doch oft erscheint diese Nachfrage nur bei einer Neuinstallation des Programms. Nach dem Zurücksetzen der Firewall kann es passieren, dass die Anwendung einfach kommentarlos nicht mehr geht. Die Abhilfe ist simpel: fragliche Anwendung erst de- und dann wieder neu installieren.
Funktionsflut
Im Bereich "App- und Browsersteuerung" der Windows-Sicherheit-App stecken einige Funktionen, die Sie kennen sollten. Ins Untermenü "Zuverlässigkeitsbasierter Schutz" hat Microsoft einen ganzen Schwung von verwirrend ähnlichen und schwammig voneinander abgegrenzten Funktionen hineingestopft. Sie firmieren unter "SmartScreen" und haben gemeinsam, dass es nicht um klassischen Virenschutz geht, sondern um Schutz vor anderer unangenehmer Software, oft auch "potenziell unerwünschte Apps" (PUA) genannt, sowie um Betrugsund Identitätsschutz. Ein typisches Beispiel dafür sind betrügerische Webseiten und Apps zum Zweck von Phishing, Scam und Ähnlichem, aber auch Adware, die häufig in den Installationspaketen von Gratis-Downloads steckt und unerwünschte Zusatzsoftware installiert oder Werbebanner einblendet. Doch der Reihe nach.
Ist "Apps und Dateien überprüfen" aktiv, hält SmartScreen auf dem PC nach betrügerischer Software Ausschau; "SmartScreen für Microsoft Edge" zeigt eine Warnung, wenn Sie mit Microsofts Webbrowser Edge versuchen, eine Phishing-Seite oder Ähnliches aufzurufen. "SmartScreen für Microsoft Store-Apps" erweitert diesen Schutz analog dazu auf das Verhalten von Apps aus dem Microsoft-Store.
Zudem gibts noch einen weiteren Schalter mit der etwas kantigen Bezeichnung "Potenziell unerwünschte Apps werden blockiert". Wenn Sie ihn aktivieren, nimmt der Defender nicht nur Betrügerisches ins Fadenkreuz, sondern auch Software, die gar kein Sicherheitsrisiko darstellt, aber zu Stabilitäts- oder Performanceproblemen führen kann - so beschreibt Microsoft das zumindest.
Die Klassifizierung, was nur leistungsschädigend ist und was betrügerisch, bekommt Microsoft aber nicht immer einwandfrei hin. So blockierte SmartScreen etwa zeitweilig das als CPU-Stresstester beliebte Tool Prime95, und zwar selbst dann, wenn "Potenziell unerwünschte Apps werden blockiert" gar nicht eingeschaltet war. Betrügerisch ist an dem Tool nichts - es lastet bloß die CPU stark aus und führt dazu, dass das System nur noch lahm reagiert, die CPU viel Leistung aufnimmt und die Lüfter hochdrehen. Solche Fehlalarme sind keine große Hürde; mit Klicks auf "Weitere Informationen" und "Trotzdem ausführen" können Sie sie übergehen.
Noch mehr Verwirrung gefällig? Unter Windows 11 gibt es im Untermenü "Zuverlässigkeitsbasierter Schutz" noch einen weiteren Schalter namens "Phishingschutz". Gemeint ist hier speziell der Schutz Ihres Windows- beziehungsweise Microsoft-Kontokennworts, je nachdem, ob Sie sich mit einem lokalen oder mit einem Microsoft-Konto am Rechner anmelden. Bemerkt Windows, dass Sie Ihr Kennwort irgendwo eintippen, wo es nicht hingehört, grätscht eine Warnung dazwischen. Möglich ist das erstens bei verdächtigen Apps und Webseiten, zweitens, wenn Sie Ihr Kontokennwort in Apps oder auf Webseiten anderer Anbieter wiederverwerten wollen, und drittens, wenn Sie Ihr Kennwort im Klartext in ein Dokument eintippen. Letzteres war in einem kurzen Test nicht gerade verlässlich: Gegen eine Eingabe des Kennworts im Editor (notepad.exe) protestierte die Funktion, in LibreOffice-Dokumente hingegen konnten wir es ungehindert eintippen. Unsere Empfehlung: Schalten Sie alle Funktionen im Untermenü...
