Selbst wenn im Handwerk trotz zunehmender Digitalisierung oft noch klassische Hand- und Kopfarbeit gefragt ist, sind computergestützte Arbeitsplätze und Unternehmensabläufe unverzichtbar geworden.

Seit Mitte 2015 ist nun Windows 10 verfügbar. Neue Endgeräte werden seitdem mit dem vorinstallierten Microsoft-Betriebssystem ausgeliefert. Windows 10 hat deshalb auch im Handwerk Einzug gehalten.

Da vor allem in kleinen und mittleren Unternehmen (KMU) die Endgeräte seltener durch große IT-Abteilungen zentral konfiguriert werden, machen sich viele Firmenchefs und IT-Verantwortliche Gedanken um die IT- und Datensicherheit. Das ist kaum verwunderlich, denn Cyber-Angriffe und IT-Sicherheitsvorfälle tauchen regelmäßig in den Medien auf und die Risiken in diesem Bereich nehmen eher zu als ab. 

Für KMU, die digital und sicher zum Erfolg kommen möchten, hat Allianz für Cybersicherheit die wichtigsten Maßnahmen zum sicheren Einsatz von Windows 10 in kleinen Unternehmen zusammengestellt. Enthalten sind Tipps zu Passwörtern, Datensicherung, Updates, Privatsphäreeinstellungen und Programmkonfigurationen.

Ein Blick auf die Hinweise lohnt sich, denn selbst wenn vieles schon bekannt ist, passiert auch dem vorsichtigen Nutzer hin und wieder ein Lapsus bei der Konfiguration seines Rechners. 

Grundregeln für die Arbeit mit dem PC

Grundregel 1 – Natürliches Misstrauen gegenüber:

• Anhängen in E-Mails | Nie unbedacht öffnen!
• Links in E-Mails | Nie unbedacht anklicken!
• Vermeintlichen Gewinnen, Auszahlungen, Erbschaften… (per Mail oder Browser) | Nie anklicken (!)
• Vermeintlichen Drohungen wie "Ihr PC ist infiziert…" (per Mail oder Browser) | Nie anklicken (!)
• Vermeintlicher Schutzsoftware | Nie anklicken (!)
• Kostenlosen Downloads von kommerzieller Software | Nie anklicken (!)

Grundregel 2 – Wohlverhalten am PC

• Trennen Sie berufliche von privaten Tätigkeiten.
• Verwenden Sie unterschiedliche Benutzerkonten am PC.
• Verwenden Sie unterschiedliche Benutzerkonten für Online-Dienste (z. B. für geschäftliche und für private E-Mail)

Grundregel 3 – "Saubere Quelle" für den Computer und Software

• Kaufen Sie Ihren Rechner bei einem Händler Ihres Vertrauens.
• Kaufen Sie Software am besten in einem ausgewiesenen Fachhandel (auch online).
• Dadurch kann gewährleistet werden, dass weder Hardware noch Software manipuliert sind oder Hintertüren enthalten.
• Dies bezieht sich auf jede Art von Hardware und Software (USB-Sticks, externe Festplatten usw.)
   

Die wichtigsten Maßnahmen für den sicheren Einsatz von Windows 10

Wo können Sicherheitseinstellungen konfiguriert werden?

Die wichtigsten Sicherheitseinstellungen werden an folgenden Stellen vorgenommen:
 

1. (Klassische) Systemsteuerung (Windows 7 – Windows 10)
    
   

   

    
2. Windows Settings (Windows 10)
     
3. Windows Defender Security Center (Windows 10)
    
   

   

    
4. Registrierungsdatenbank (Registry)
    
5. Gruppenrichtlinieneditor (Gpedit) (nicht enthalten in Windows 10 Home Edition)
     

Passwörter

 
Passwörter – Grundsätzliches

Passwörter sind nach wie vor ein unverzichtbarer Bestandteil für die Sicherheit von Computern und Ihrer verschiedenen Online-Identitäten. Sie schützen den Zugang zu Ihrem Computer und zu Online-Konten (Bank, E-Mail, Facebook, Amazon usw.). Daher haben es sehr viele Angreifer auf Ihre Passwörter abgesehen.
 

Passwörter – Richtlinien 

• Für jeden Zweck sollte es ein eignes Passwort geben (Benutzer am Computer, Online-Dienst)
• Das Passwort sollte "lang genug" sein (Mindestens 10 Zeichen. Wortverfremdungen, die nicht im Wörterbuch stehen erhöhen die Sicherheit – z. B. 'eenemeenemuuh' statt 'enemenemu').
• Passwörter, die man sich nicht merken kann können aufgeschrieben und an einem sicheren Ort verwahrt werden oder in einem sogenannten "Passwort-Manager" gespeichert werden.
• Wenn Ihr Computer gehackt wurde, sollten auch alle Passwörter von Online-Diensten geändert werden.
   

Benutzerkonten

 
Benutzerkonten – Grundsätzliches

• Generell gilt: Ein Benutzer soll nur die Berechtigungen erhalten die er zur Verrichtung seiner Aufgaben braucht Prinzip der geringsten Berechtigungen
• Unter Sicherheitsaspekten lassen sich zwei Arten von Aufgaben unterscheiden: Standard-Aufgaben (E-Mail, Internet, Office) und sicherheitskritische Aufgaben (Installation von Software, Systemkonfiguration)
• Ein Benutzerkonto, das beide Aufgaben verrichten kann, ist gefährlich. Wird beispielsweise eine bösartige Datei aus einer E-Mail durch Standard-Benutzer angeklickt, kann der Schaden aufgrund der fehlenden Berechtigungen oft eingegrenzt werden. Hat der Benutzer hingegen auch administrative Berechtigungen, kann die bösartige Datei beliebige Änderungen am PC vornehmen.
• Zwei Benutzerkonten für einen Mitarbeiter sind jedoch vor allem in kleinen Betrieben umständlich Ein Kompromiss sind hier Benutzerkonten mit aktivierter Benutzerkontensteuerung (UAC) pro Mitarbeiter.

Benutzerkontensteuerung (UAC)

Die UAC enthält einen Benachrichtigungsmechanismus für Zugriffe mit hohen Berechtigungen. (Administrative) Benutzer führen deshalb Programme bei aktiver UAC zunächst stets mit Standardberechtigungen aus. Nur bei Bedarf werden die Berechtigungen zur Ausführung erhöht. Die Benutzerkontensteuerung warnt vor sicherheitskritischen Änderungen und der Benutzer muss die Änderungen dann explizit bestätigen.

Hinweis: Die Standardeinstellung für die Benutzerkontensteuerung sollte beibehalten werden.
 

Betriebssystem, Programme, Anti-Viren-Software

Windows Update nutzen

Windows Update aktualisiert Betriebssystem-Komponenten über Updates, um beispielsweise Sicherheitslücken zu schließen, neue Funktionen hinzuzufügen und allgemeine Fehler zu beheben. Die Standardeinstellung von Windows kann beibehalten werden.

Software-Applikationen aktualisieren

Wie das Betriebssystem kann die auf den Systemen installierte Software Sicherheitslücken oder Fehler enthalten. Aus diesem Grund müssen alle installierten Anwendungen ebenfalls regelmäßig gepatcht (aktualisiert) werden.

Viele Programme, wie z.B. Adobe Reader oder Java bringen einen automatischen Update-Mechanismus (Auto-Updater) mit. Dieser benachrichtigt, wenn neue Aktualisierungen zur Verfügung stehen. Es empfiehlt sich, die Benachrichtigungen von Auto-Updatern nicht zu ignorieren.

Sollte diese Funktion nicht zur Verfügung stehen, müssen Anwendungen regelmäßig manuell aktualisiert werden.
 

Windows Firewall eingeschaltet lassen

Die Windows Firewall kontrolliert den Netzwerkverkehr zwischen dem Windows-PC und jedem anderen Computer. Sie schützt so vor unerlaubten Verbindungen, die von fremden Computern kommen. Die Firewall ist standardmäßig aktiviert und sollte nicht deaktiviert werden.
 

Automatische Wiedergabe deaktivieren

Dateien auf externen Datenträgern können unter Windows automatisiert geöffnet und gestartet werden. Um die Sicherheit des Systems zu erhöhen, sollte diese Funktion deaktiviert werden. Dies kann in der Gerätekonfiguration erfolgen. 

Anschließend werden keine Aktionen durchgeführt, bis der Benutzer eine bestimmte Datei explizit öffnet oder ausführt. So lässt sich ungewollte Software an der Ausführung hindern.

Weniger Software = mehr Sicherheit

Jede Software kann Sicherheitslücken enthalten. Daher empfiehlt es sich, die Menge an installierten Anwendungen so gering wie möglich zu halten. Dadurch wird der Aufwand, alle Anwendungen aktuell zu halten, reduziert. Ebenso wird die mögliche Anzahl an Sicherheitslücken, die das System betreffen, verringert.

Nutzen Sie eine aktuelle Anti-Viren-Software (AV)

Die Installation einer aktuellen Virenschutz-Software wird nicht nur empfohlen, sondern sollte Pflicht sein, um den Schutz vor Schadsoftware sicherzustellen. Der in Windows 10 integrierte Windows Defender reicht in der Regel aus, um das Sicherheitsniveau zu verbessern kann jedoch auf weitere kostenlose wie kostenpflichtige AV-Programme zurückgegriffen werden. Aktualisierung der Virendefinitionen erfolgt bei den Programmen automatisch im Hintergrund.

Sichern Sie Ihre Daten (Backup)

Der Verlust von wichtigen Daten hat signifikante negative Implikationen für ein Unternehmen. Dazu zählen zum Beispiel Verzögerungen im Betriebsablauf (mitunter sogar Stillstand), der Verlust des Zugriffs auf wichtige Unterlagen wie Verträge, Rechnungen, usw.

Der Datenverlust muss dabei nicht durch unbedingt durch Gerätediebstahl oder Cyberkriminalität verursacht werden. Auch versehentliches Löschen, defekte Hardware oder Elementarschäden können sich gravierend auswirken.

Die Regelmäßige Sicherung der Daten ist deshalb unabdingbar!

Sicherungen in verschiedener Form über die Windows-Funktion "Sichern und Wiederherstellen" möglich. Es können die gesamte Festplatte, ausgewählte Dateien bzw. Ordner oder ganze Systemzustände gesichert werden. 

Die Sicherungen sollten dabei nie auf dem Gerät abgelegt werden, von dem eine Datensicherung erstellt wird. Stattdessen empfiehlt sich die Nutzung externer Datenträger (Festplatten, USB-Sticks, ...) oder von Netzlaufwerken (NAS).
 

Wichtige Anwendungen sicher konfigurieren

Anwendungen auf dem PC sind die Verbindung "nach außen" und damit leider auch ein "Einfallstor" für Angreifer. Zudem können manche Anwendungen ein Risiko für die Privatsphäre darstellen, etwa wenn Aktivitäten im Browser mitverfolgt werden. Deshalb ist eine sichere Konfiguration von Anwendungen (vor allem internetfähigen) besonders wichtig, um den Computer zu schützen.
 

Sichere Konfiguration von Browsern

• Deaktivierung von automatischen Formularfunktionen und Speicherung von Passwörtern
• Pop-Ups generell nicht erlauben (Standard in gängigen Browsern)
• Deaktivierung von nicht benötigten Komponenten zur Darstellung von Web-Inhalten (zum Beispiel ActiveX) oder Nachfrage, bevor diese benutzt werden dürfen (zum Beispiel Flash Player, weitere Plugins)
• Regelmäßiges Löschen des Browserverlaufs, beziehungsweise der zugehörigen Daten

Sichere Konfiguration von Mail-Programmen

Bei der Verarbeitung einer E-Mail innerhalb des Mail-Programms kann einerseits die Sicherheit andererseits auch die Privatsphäre des Benutzers eingeschränkt werden. Um dies zu vermeiden, können am Mail-Programm entsprechende Einstellungen vorgenommen werden.

• Mail-Programme sollten so konfiguriert werden, dass Anhänge nicht automatisch angezeigt werden.
• In die E-Mail eingebettete Bilder oder andere Dateien, die die Darstellung der Mail beeinflussen, sollten nicht automatisch aus dem Internet nachgeladen werden dürfen. Hierzu kann der Download von Bildern und HTML-Darstellungen deaktiviert werden.

Sichere Konfiguration von Office-Anwendungen

Bestimmte Funktionalitäten von Office-Produkten können von Angreifern verwendet werden, um schadhaften Code auszuführen. Dazu zählen ActiveX-Elemente und Makros.

Die sicherste Lösung ist es, diese Funktionalitäten im "Trust Center" zu deaktivieren. Allerdings stehen die Funktionalitäten dann nicht mehr zur Verfügung. Falls die Deaktivierung nicht möglich ist sollte die Konfiguration so erfolgen, dass die Ausführung der Funktionen vom Anwender vorher bestätigt werden muss. Und dieser sollte das nur realisieren, wenn der Autor der Office-Datei bekannt ist.
 

Privatsphäre

Privatsphäre – Grundsätzliches

Windows 10 sammelt Daten und sendet diese an Microsoft. zu den gesammelten Daten gehören Informationen zur genutzten Hardware, zu installierten Programmen und zum Nutzungsverhalten. Auch Standortinformationen, Informationen zu Programmabstürzen, Suchanfragen und Audioaufzeichnungen können übermittelt werden.

Hauptsächlich sollen die Daten dazu beitragen, Microsoft bei der Weiterentwicklung von Windows zu unterstützen. Jedoch kann die Informationssammlung datenschutzrechtlich problematisch sein.

Nutzer sind deshalb gut beraten, wenn sie den Schutz der Privatsphäre im Blick behalten.
 

Privatsphäre – Cortana

Der Sprachassistent von Microsoft lauscht ähnlich wie Apples Siri dauerhaft mit und überträgt Daten beim Tippen oder beim Sprechen (nach 'Hey Cortana' zu Microsoft. Die Deaktivierung dieser Funktion ist leider nur kompliziert über die Windows Registrierungsdatenbank möglich.
 

 Privatsphäre – App-Berechtigungen

Der "Microsoft Store" ist ein Portal, über das Applikationen heruntergeladen und installiert werden können. Diese Apps laufen stark isoliert vom Betriebssystem. 

Der Zugriff dieser Programme auf Daten außerhalb der App kann unterbunden oder auch einzelnen Apps erlaubt werden. So ist es beispielsweise möglich, den Zugriff auf Positionsdaten komplett zu unterbinden oder – etwa für Navigationsapps bei Mobilgeräten zu erlauben.

Grundsätzlich sollten Berechtigungen an Apps sollten restriktiv vergeben werden.

Autor: Friedwart Kuhn (ERNW GmbH)

Mehr Informationen und Download

www.allianz-fuer-cybersicherheit.de
Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die das Know-how zum Schutz vor Cyber-Angriffen in  Unternehmen stärkt. Auf der Internetpräsenz der Allianz steht die komplette Präsentation "Sicherer Einsatz von Windows 10 in kleinen Unternehmen" als Download zur Verfügung. Sie bietet über die hier berücksichtigten Basisinformationen unter anderem Hinweise zur sicheren Konfiguration von Microsoft-Konten, verschiedener Internetbrowser, Mailprogramme sowie des Adobe-Readers. Nach der kostenlosen Registrierung bei der Allianz erhalten Nutzer außerdem Zugriff auf weitere Handlungsempfehlungen, Tutorials.