Windows XP ist das am weitesten verbreitete Betriebssystem. Der marktwirtschaftliche Vorteil bringt allerdings einen sicherheitstechnischen Nachteil. Angriffe auf Windows-Rechner sind trauriger Standard, Virenscanner und Firewalls sollen Abhilfe schaffen, leisten aber weniger, als allgemein gedacht. Das hängt damit zusammen, dass Windows ab Werk einen Designfehler hat: Normalerweise nicht benötigte Dienste und Ports sind aktiviert und müssen erst umständlich durch Firewalls abgedichtet werden. Ein gefundenes Fressen für Hacker, Cracker und Skript-Kiddies.

Das Problem sind nicht die Ports eines Betriebssystems selbst, sondern mögliche verwundbare Dienste dahinter. Und diese Dienste haben es besonders unter Windows in sich: Netzwerk-Dienste waren bei Windows NT standardmäßig aktiviert, von außen erreichbar und somit auch angreifbar. Dieser Fehler betrifft alle NT-Systeme seit Windows NT 3.1 - Windows 2000 ist als direkter Nachfolger des Netzwerk-Betriebssystems von Microsoft genauso betroffen wie Windows XP.

Dabei muss man kritisieren, dass Microsoft eine der wichtigsten Regeln der Netzwerksicherheit außer Acht gelassen hat:

Biete keine Dienste an, die du nicht brauchst!

Genau hier setzen Angreifer an, missbrauchen eingeschaltete, aber nicht benötigte Dienste, um sich Zugang zum Rechner zu verschaffen. Erfahrene Anwender schalten diese Dienste deshalb manuell ab. Für weniger erfahrene Anwender bietet NTSVCFG ein entsprechendes Skript auf seiner Website an: Ein Privatrechner benötigt in der Regel keine Serverdienste. Also werden diese von diesem Skript beendet oder so konfiguriert, daß sie nach außen nicht mehr angeboten werden.

Die Gründe für den Einsatz des Skriptes sind zahlreich. So sind Personal Firewalls bei weitem nicht so sicher, wie viele Anwender glauben: Während Hardware-Firewalls, zum Beispiel im Router, durch die klare Trennung zwischen Firewall und System relativ sicher sind, bieten die Personal Firewalls, Programme wie Norton oder Zonealarm, keine verlässliche Sicherheit. Zwar blockieren solche Programme die entsprechenden Ports und blocken Anfragen, eine reibungslose Funktion ist jedoch nicht gegeben.

Bereits vor einiger Zeit hat der Chaos Computer Club Personal Firewall-Systeme getestet und für schlecht befunden. Über ein einfaches Tool namens wwwsh lässt sich jede Personal Firewall austricksen, Verkehr läuft ein und aus, weil das Tool der Firewall eine Nutzeraktivität vorgaukelt. Doch es kommt noch besser: Wenn die üblicherweise von Angreifern missbrauchten Dienste von Windows abgeschaltet werden, werden Personal Firewalls völlig überflüssig: "Wenn auf einem PC die unerwünschten Dienste abgeschaltet sind, bietet keine der getesteten 'Personal Firewalls' einen zusätzlichen Schutz", heißt es auf der Website Copton.net. Genau zu dieser Dienstabschaltung wird das Skript von NTSVCFG.de und alternativ Dingens.org empfohlen, deren Funktionen sich natürlich auch manuell ausführen lassen.

Soviel also zum Thema Personal Firewalls. Hersteller entsprechender Produkte schießen sich oft auf die eingebaute Windows-Firewall ein, weil sich viele Anwender zu Recht fragen, warum sie eine teure Personal Firewall nutzen sollen, wenn Windows entsprechende Software mitbringt. Torsten Mann: "Man reitet hier auf der Windows-Firewall herum und kreidet ihr an, dass sie keinen ausgehenden Verkehr filtert." Das ist auf gewisse Weise doppelt richtig, denn: "Erstens filtert die aktuelle Firewall in Windows tatsächlich keine ausgehenden Verbindungen und zweitens ist das auch völlig in Ordnung, weil sich dieser Verkehr nicht sinnvoll kontrollieren lässt."

Mit anderen Worten: Die wortreichen Ausschmückungen der Hersteller von Personal Firewalls sind nichts als hohle Versprechungen. Die Marketing-Blase platzt und entpuppt die Behauptung, dass Firewall-Produkte von entsprechenden Herstellern sicherer seien als die Windows-Firewall, als glatte Lüge. Die Programme sind gleich sicher - oder unsicher, wenn man so möchte, da sie sich überrumpeln lassen. Sicher sind nur Hardware-Lösungen, die den Internet-Anschluss vom Rest des Netzwerkes trennen und die Rechner im Netz damit unsichtbar machen. Router besitzen meist eine entsprechende Firewall-Funktion. Angreifer müssen hier erst einmal am Router vorbei, bevor sie die Rechner im Netz angreifen können.

Auch Virenscanner sind keine Garantie für einen sicheren Rechner: Vor Würmern wie Blaster oder Sasser haben weder Virenscanner noch PFW geschützt - einzig das rechtzeitige Einspielen des Patches von Microsoft oder das Deaktivieren unnötiger Systemdienste konnte eine Infektion zuverlässig verhindern. Man kann einen Virenscanner verwenden, aber man sollte bedenken, daß ein 'Kein Virus gefunden' nicht bedeutet, dass keiner vorhanden ist.

Harte Worte, doch nicht unbegründet: "Prinzipiell sind die Virendatenbanken immer unaktuell - mal mehr und mal weniger." Genau hier setzt das große Problem an: So liefern Antiviren-Hersteller auf die Frage, wie lange es von der Entdeckung eines Virus bis zum Scanner-Update dauere, Werte zwischen 30 Minuten und drei Stunden. So behauptet Kaspersky, die schnellste Update-Pflege zu haben, während Sophos sich mit rund drei Stunden ordentlich Zeit lässt.

Sind sie also unsicher, all die Firewalls und Antiviren-Tools auf dem Markt? Dazu ein simples "Jein". Zumindest weniger erfahrene Angreifer und Skript-Kiddies können von solchen Tools recht effizient aufgehalten werden. Für erfahrene Angreifer stellen Firewalls und Virenscanner jedoch keine Hürde dar: Sie hebeln die Firewalls einfach aus und schreiben Viren, die von keinem Scanner ohne Update erkannt werden können und können sich auf diese Weise Zutritt zum Rechner verschaffen.

Jeder Rechner, der sichtbar im Internet hängt, ist deshalb theoretisch bedroht, egal, ob mit Windows, Linux oder Mac OS X betrieben. Windows allerdings ist Angreifers Liebling, sowohl, weil es viele Angriffspunkte bietet, als auch, weil es mit über 90 Prozent Marktanteil am weitesten verbreitet ist. Und es gibt noch einen dritten Punkt: Mac- und Linux-Anwender sind durch die Unix-Struktur ihrer Betriebssysteme recht gut geschützt. Hier sind, anders als bei Windows, nicht benötigte Dienste wie FTP, SSH oder Remote Desktop von vornherein deaktiviert. Der Anwender muss sie erst einschalten, bevor er sie nutzen kann.

Abhilfe schafft in den meisten Fällen eine Trennung von Firewall-Ebene und Netzwerk. Man kann sich das wie einen klassischen Einbruch in einem Mietshaus vorstellen, die Hauseinfahrt ist der Internet-Anschluss, das Netzwerk das Haus und der Rechner die Wohnung. Wird der Angreifer schon von der Einfahrt abgeschreckt, die in Form einer Firewall in einem Router durchaus ihren Zweck erfüllt, wird er kaum bis zum Haus oder zur Wohnung durchdringen. Kommt er hingegen die Einfahrt problemlos hoch, kann er sich zahlreiche Wege suchen, um ins Haus einzudringen. Und ist er erst einmal drin, kann er sich an jeder Wohnungstür versuchen.

Die Chancen auf einen erfolgreichen Bruch werden immer höher, je weiter er ins System eindringt. Deshalb ist es empfehlenswert, statt einer Personal Firewall ein externes System in Form eines Routers mit Firewall und NAT zu nutzen und natürlich die Skripte von Dingens.org oder NTSVCFG.de zu installieren. Der Virenscanner sollte allerdings trotzdem nicht eingemottet werden, denn oft kommen ältere Viren und Würmer auf dem Weg einer Datei ins System - da ist es praktisch, wenn man diese zumindest entfernen kann.