6 Sicherheits-Pakete für Windows im Test
Firewall und Virenscanner blocken Würmer und Trojaner

KomponentenSicherheitSicherheitsmanagementWorkspace

Die Scanner erkennen neue Viren erst nach einem Signatur-Update.
Desktop-Firewalls verhindern, dass sich unliebsame Programme aufgrund
von Windows-Sicherheitslücken selbst installieren.

7 Viren pro Woche

6 Sicherheits-Pakete für Windows im Test

Sieben neue Viren in einer Woche sind keine Seltenheit; das verraten
zumindest die Hersteller-Webseiten von Antiviren-Software. Die meisten
der ungeliebten Programme sind vergleichsweise harmlos. Sobig.F und
Blaster haben vor kurzem bewiesen, wie schnell sich gefährliche Viren
per Internet auf ungeschützten Rechnern verbreiten. Doch der eigene PC
ist nicht nur ein potenzielles Opfer, vielmehr wird bei Massmailern der
eigene PC selbst zum Angreifer und versendet verseuchte E-Mails unter
eigenem oder fremden Namen an gute Freunde und Geschäftspartner. Der
Trend geht immer mehr zu Komplettlösungen aus Firewall, Viren- und
Trojaner-Scanner, Content-Blocker und zusätzlichen, meist kleineren
Sicherheits-Tools.


Security-Glossar

6 Sicherheits-Pakete für Windows im Test

Denial of Service (DoS): Außerkraftsetzen von Diensten auf
Servern. Wenn ein Server seinen Zweck nicht mehr erfüllen kann, liegt
eine DoS-Attacke vor. Sie tritt zum Beispiel dann auf, wenn ein System
eine große Anzahl Daten auf einem Port erhält, sodass interne Buffer
überlaufen.

Exploits: Verfahren, um eine bekannte Lücke in
einem Programm auszunutzen. Exploits sind manchmal gut ausgearbeitet in
Form eines einfach zu bedienenden Programms erhältlich. Dadurch können
sie auch weniger erfahrene Angreifer und Script-Kiddies anwenden.


Firewall:
System beziehungsweise Konzept, bestehend aus Software und/oder
Hardware, das ein Netzwerk vor dem Internet absichert. Definiert mit
einem Regelwerk, welche IP-Adressen von innen über welche Ports nach
außen kommunizieren dürfen oder welche Verbindungen aus dem Internet in
den sicheren Bereich gelassen werden.

Intrusion Detection
System (IDS):
Erkennt Einbruchsversuche. Es gibt einfache
Software-Lösungen, die man selbst mit ein paar Scripts zusammenbauen
kann. Mittlerweile gibt es auch teure kommerzielle Lösungen für viele
bekannte Netzwerkbetriebssysteme.

Netbios: Ein
Datenaustausch in Windows-Netzwerken erfolgt fast immer über Netbios,
speziell über die Ports 135 bis 138 UDP und TCP. Netbios ist mit Hilfe
von TCP/IP routefähig – damit ist ein Zugriff aus dem Internet auf den
eigenen Rechner zum Beispiel mit dem Explorer möglich. Die Netbios-Ports
müssen deswegen an der Internet-Schnittstelle blockiert sein.


Ports:
Endpunkte von Verbindungen. Eine Verbindung ist außer durch
die beiden IP-Adressen durch die Ports gekennzeichnet. Die IP-Adresse
plus Portnummer wird als Socket bezeichnet.
Spoofing: Vortäuschen
einer falschen IP- oder E-Mail-Adresse. Wird auch gern bei Werbe-E-Mails
(Spam) eingesetzt, um den Absender zu verschleiern.
Stealth Scan:
Portscan, der vom Opfer nicht entdeckt wird.

TCP-Handshake:
Der Aufbau einer Verbindung mit dem Transmission Control Protocol
(TCP-Handshake genannt) erfolgt in drei Schritten: Zuerst schickt der
Host, der eine Verbindung wünscht, ein TCP-Paket an das Zielsystem, in
dem ein bestimmtes Bit, das SYN-Bit (Synchronize-Bit), angeschaltet ist.
Dies signalisiert dem Zielsystem, dass ein Verbindungsaufbau erwünscht
ist. Das Zielsystem seinerseits sendet eine Antwort, bei der ebenfalls
das SYN-Bit, aber
zusätzlich noch das ACK-Bit (Acknowledge-Bit)
gesetzt ist, und signalisiert damit seine Bereitschaft (zweiter
Schritt). Im dritten und letzten Schritt bestätigt der initiierende Host
mit einem ACK. Damit steht die Verbindung.


Fazit

6 Sicherheits-Pakete für Windows im Test

Zu welchem Produkt soll man nun greifen? Zum kostenlosen Zone Alarm?
Reicht das oder schützen die anderen Produkte doch besser? Gegen Blaster
und wahrscheinlich gegen die meisten anderen Würmer reicht Zone Alarm
aus – das ist allemal besser, als ungeschützt im Internet zu stehen. Die
kostenpflichtigen Produkte bieten aber mehr Funktionen: Virenscanner
sind unerlässlich, Trojaner-Scanner etwas weniger, aber dennoch
sinnvoll, Content-Blocker braucht sicher nicht jeder.
Wichtig ist die
Aktualität der Produkte. In die meisten Produkte ist ein Update-System
integriert, das die Software mehr oder weniger automatisch auf dem
aktuellen Stand hält.
Virendatenbanken wollen gepflegt werden – das
kostet Geld und ist auch Geld wert. Von den verbleibenden Produkten
weist Norton die meisten Funktionen zum moderaten Preis auf, McAfee die
längste Aktualität (Zwei-Jahres-Abo), allerdings zu einem recht hohen
Preis, Trend Micro und Buhl bieten die günstigsten Produkte, wobei ein
Virenscanner eigentlich noch wichtiger als ein Trojaner-Scanner ist.
Dafür ist Trend Micros Firewall verglichen mit dem Buhl-Produkt recht
mager. Vom Preis her wird man wohl zu Buhl oder Norton greifen.

Schließlich muss man sich überlegen, wie viel Zeit man mit so einem
Produkt verbringen möchte. Norton und das Buhl-Produkt gehören zu den
komplexen Produkten, McAfee und Trend Micro eher zu den etwas
einfacheren. Der geneigte Regeln-Bastler wird daher zu Norton oder Buhl
greifen.


Die meisten Angriffe sind ungefährlich

6 Sicherheits-Pakete für Windows im Test

Zunächst einmal heißt es bei einem Alarm Ruhe bewahren. Die
Entscheidung, ob man tatsächlich gehackt worden ist oder nicht, ist nur
schwer zu treffen. In den Logfiles (diese sind für diese Frage
entscheidend) werden die IP-Adressen angezeigt, die Verbindungsversuche
unternommen haben. Aber nicht jeder Versuch ist gleich ein
Einbruchsversuch. Ein Portscan ist noch kein Einbruch, sondern der
Normalfall. Wer ständig online und im Internet sehr aktiv ist, kann mit
mehreren Scans pro Minute rechnen. Hier ist es wichtig zu wissen,
welcher Port gescannt wurde. Auch das steht in den Logfiles. Scans auf
bestimmte Serverports sind immer verdächtig. Werden die Ports 21, 25 und
80 gescannt, ist ein Einbruchsversuch wahrscheinlich. Ist zum Beispiel
ein Filesharing-Port gescannt worden, war ein Filesharing-Tool aktiv:
Ein anderer Edonkey-, Emule oder Kazaa-User hat
versucht, eine
Verbindung zu Ihnen herzustellen. Das ist bei dynamischen IP-Adressen
keine Seltenheit: Der User, der diese Adresse vorher hatte, war
vielleicht ein eifriger Esel-Sauger und die Adresse ist im Netzwerk noch
bekannt.

Gegenmaßnahmen

Natürlich lassen sich Gegenmaßnahmen ergreifen: Wird ein Angreifer
vermutet, kann man seine IP-Adresse in Tools wie Neotrace eingeben.
Dadurch erhält man den Standpunkt des Angreifers auf einer Landkarte,
genauer gesagt den Standpunkt seines Einwahlrouters. Der Besitzer der
IP-Adresse ist ebenfalls leicht ausfindig zu machen. Eine Abfrage seiner
IP-Adresse bei liefert seinen Namen. IP-Adressen sind Providern
zugeordnet, daher kann man den Provider in Erfahrung bringen. Mit diesen
Informationen sendet man eine Mail an die so genannte Abuse-Adresse des
Providers. Meistens wird der nichts unternehmen, es sei denn, ein
Einbruch ist nachgewiesen. Das ist aber in der Praxis schwierig und sehr
zeitaufwändig, sodass man sehr viel Zeit, Ausdauer, Log-Files und
natürlich technisches Know-how mitbringen muss.