Computer Sicherheit für Windows, macOS und Linux

Wie sicher und privat sind PC?

Wie du bestimmt gehört hast, wurden PC’s (Personalcomputer) schon in den 70er Jahren entwickelt. Das Ziel war damals, Rechnern möglichst viel Leistung für die Anwenderprogramme mitzugeben. Da es damals noch kein Internet und nur wenig Vernetzung gab, war Sicherheit nicht im Fokus der Entwicklung.

Deshalb ist das Sicherheitsmodell der heutigen PC’s immer noch recht lückenhaft und bietet Angreifern viele Schwachstellen in der Hardware und  im Betriebssystem. Das ist der Grund, warum manche Sicherheitsexperten empfehlen ganz auf PC’s zu verzichten.

“Wenn Sie können, bleiben Sie vom PC weg und nutzen sie ein mobiles Gerät.” madaidan (Security Researcher) Articles | Madaidan’s Insecurities

Marktanteile der Betriebssysteme

Wie teilen sich die wichtigsten PC-Betriebssysteme den Markt auf? Laut Statista 07/2022 arbeiten:

• 75,4% aller PC’s mit Microsoft Windows

• 14,5% mit Apple’s macOS

• 2,4% mit unterschiedlichen Linux-Systemen

Aus den Zahlen ergibt sich, dass der Nutzer eines Windows- oder Apple-PC’s mehr potentiellen Bedrohungen gegenübersteht, als ein Linux-Nutzer.

Wie steht es um die Sicherheit und die Privatsphäre?

Microsoft und Apple haben die Sicherheit ihrer Betriebssysteme in den letzten Jahren merklich verbessert. Nutzt du heute z.B. Windows 11 , vorzugsweise im S-Modus auf einem Secured-Core-PC oder macOS auf einem MacBook ab der M1-Generation bieten beide Hersteller inzwischen auch pro-aktive Sicherheitsfunktionen wie :

• das Abschwächen von noch unerkannten Sicherheitslücken (Exploits),

• den verifizierter Start des Betriebssystems (Secure Boot),

• das Sandboxing von Apps und

• die Nutzung speicher-sicherer Programmiersprachen

Allerdings senden beide Systeme auch standardmäßig Erkenntnisse über ihre Benutzer und ihre Benutzung zurück an ihre “Erbauer”. Die nutzen unsere Daten dann für eigene Analysen, verkaufen sie ggf. weiter an Datenhändler und teilen sie ungefiltert z.B. mit der amerikanischen Regierung (NSA / PRISM Programm).

Das kann du zum Beispiel in der Microsoft Datenschutzerklärung nachlesen. Eine Zusammenfassung zu den Edward Snowden Veröffentlichungen von 2013 findest du hier und hier.

Bei beiden Systemen kann man die Sicherheit noch weiter verbessern und das extreme Ausmass der Datensammlung reduzieren.. aber leider nicht abstellen.

Ein »sicheres« und vertrauenswürdiges System ist die Grundlage für alle weiteren Sicherheitsmaßnahmen wie bspw. Verschlüsselung oder spurenarmes Surfen im Netz. Mike Kuketz

Linux oder Mainstream?

Wer seine Privatsphäre schützen möchte, kann auf ein quellen-offenes, freies und vertrauenswürdiges Betriebssystem wie Linux umsteigen. Besonders die Distributionen wie Ubunto und Linux Mint sind für Einsteiger gut geeignet. Sie sind zu fast jedem PC kompatibel, lassen sich leicht installieren und bieten dir Anonymität, Privatsphäre und die Freiheit selbst zu entscheiden. Diese Systeme werden von einer riesigen Community von Freiwilligen weltweit gepflegt und täglich aktualisiert. Erkannte Sicherheitslücken werden fast stündlich “gefixt” und können per automatisierten Updates deinen Rechner schützen.

Linux hat die Nase vorn, wenn es um deine Privatsphäre, Vertrauenswürdigkeit, Überprüfbarkeit und die Freiheit bei der Anpassung geht.

Das bedeutet leider nicht, dass Linux per se ein sicheres Betriebssystem ist. Wer Aufgrund seiner „Bedrohungslage“ viel Wert auf IT-Sicherheit legt, dem empfehle ich die Nutzung von Windows 11 auf einem Secured-PC oder macOS auf einem MaxBook Pro ab der M1-Klasse. Die dort vorhandenen modernen und pro-aktiven Sicherheitsstandards, existieren so auf einem Standard Linux-PC nicht.

Ob dann dein PC aber von Ermittlungsbehörden „verwanzt“ werden kann oder ob es Cyber-Kriminellen gelingt, deine Identität zu stehlen, hängt u.a auch von folgenden Faktoren ab:

• deiner Bedrohungslage
  Wer interessiert sich für dich und deine Daten?
  Welche Mittel und welche Entschlossenheit wird ein potentieller Angreifer einsetzen?
• deiner IT-Erfahrung, deiner Zeit und deinem Budget
• deiner Disziplin und Tagesform-abhängigen Aufmerksamkeit bei der Arbeit am PC

Grundlegende Einstellungen und Verhaltensweisen

.. die du leicht auf jedem PC mit Linux, Windows oder macOS Betriebssystem umsetzen kannst.

Nutze nur vertrauenswürdige, sichere Quellen für deine Hard -bzw. Software. Vertraue dabei zunehmend auch auf deine Erfahrung und nicht nur auf die Vorgaben der Hersteller und die Angebote in ihren App-Stores.

Verwende für deinen PC keinen Fancy-Namen der mit dir in Verbindung gebracht werden kann. Nutze statt dessen Namen wie es sie sicher Millionen mal auf der Welt gibt. Auf einem MacBook z.B. “MacBook” oder „Desktop“ auf einem Windows System.

Verwende für deine tägliche Arbeit einen “Standard”-Benutzerkonto ohne Administrator-Rechte.

Die aktuelle Praxis, dem Standard Benutzer für Admin-Aufgaben per Passwort-Abfrage (unter Linux per “sudo”) Admin-Rechte einzuräumen, birgt Risiken. Installierst du damit versehentlich eine Schadsoftware, kann du so deinen ganzen Rechner infizieren.

Was muss ich dazu tun?

Erstellen dir ein weiteres Administrator-Konto und wandle dein aktuelles Konto in ein eingeschränktes oder Standard-Benutzerkonto um. Nutze zur täglichen Arbeit nur dein Standard-Konto.

Verwende ein starkes Benutzer-Passwort oder besser eine Passwort-Phrase mit 5-6 Wörtern. Verwende dieses Passwort nirgendwo anders und achte darauf, das du es niemals wiederholst.

Speichere deine Accounts und Passwörter mit einem vertrauenswürdigen Passwort-Manager.

Verschlüssle deine Festplatte. Sollte jemand physischen Zugriff zu deinem PC erhalten, kann er so nichts mit deinen Daten anfangen.

• Windows: BitLocker – Microsoft Support – Aktivieren der Geräteverschlüsselung
  Leider ist der Bitlocker bei Windows nur in den Pro-Versionen enthalten.

• macOS: FileVault – Das Startvolumen Ihres Macs mit FileVault verschlüsseln
  Ich empfehle nur einen manuellen Wiederherstellungsschlüssel zur erzeugen und diesen sicher und physisch zu verwahren. Die Wiederherstellung mit dem iCloud-Konto solltest du ablehnen.

• Linux Mint oder Ubunto: LUKS –  Verschlüsselung mit Linux
  Verschlüsselung der Festplatte(n) ist bei den meisten Linux-Distributionen schon bei der Installation Standard

Konfiguriere dein System so, dass die Firmware, das Betriebssystem und alle von die genutzten Programme regelmäßig und zeitnah aktualisiert werden.

Installiere ausschließlich notwendige Applikationen und Betriebssystem-Komponenten. Jede zusätzliche Komponente bietet eine zusätzliche Angriffsfläche und muss u.a. regelmäßig aktualisiert werden. Fang an mit dem Aufräumen und deinstalliere und lösche Ungenutztes.

Die meisten Linux-Distributionen bieten dir schon bei der Installation die Möglichkeit nur das benötigte Basissystem zu installieren. So hast du einen leichten Start und musst nicht für X-Applikationen herausfinden, ob du sie überhaupt benötigst.

Richte mit einer externen Festplatte ein regelmäßiges Datensicherung ein. Natürlich kannst du “klassisch” dein ganzes System mit Betriebssystem, Anwendungen und deinen Daten sichern. Das dauert sehr lange und ist sehr unhandlich. Da man das Betriebssystem und die Anwendungn mit endlichen Aufwand nachinstallieren kann, empfehle ich zunächst nur deine Daten (Dokumente, Bilder, Filme, Export aus dem Passwort-Manager etc.) zu sichern.

Verwahre die Festplatte an einem sicheren Ort (z.B. in einem Bankschließfach). Spiele durch was zu tun ist, um dieses Backup im Ernstfall zurück zuspielen.

Empfehlung aus der CloudPirat Privacy Toolbox:

• Installiere dir Mullvad als VPN, Schutz vor Werbung und Trackern, Maleware und als verschlüsslete DNS. Konfiguriere Mullvad so, dass er beim Systemstart ebenfalls gestartete wird.

• Nutze als Standard Browser Brave und nicht Edge, Safari oder Firefox

• Nutze als Suchmaschine Brave-Search

• Nutze als Passwort-Manager Bitwarden, wenn du deine Accounts und Passwörter mit andere Geräte synchronisieren möchtest. Soll deine Passwortdatenbank aus Sicherheitsgründen nur auf einem PC ablegen wollen, nutze KeyPassXC

• Nutze LibreOffice statt Microsoft Office, damit die beim Schreiben niemand über „die Schulter schaut“. LibreOffice ist eine „Open Source”-Software, die von einer weltweiten Gemeinde entwickelt und gepflegt wird. Ziel des Projekts ist es, jedem Menschen den Zugang zu einer leistungsfähigen, offenen und freien Office-Software zu ermöglichen.

• Nutze Signal als Desktop-Messenger

• Nutze ProtonMail als Email- und Kalender System. Alternativ kannst du vertrauliche Informationen immer auch über Signal versenden

• Video-Konferenzen: Jitsi-Meet oder einfach auch nur Signal

Windows härten

Die wichtigste Aktivität bei der Verbesserung der Windows Sicherheit ist die Aktivierung von Windows Sicherheit (auch Windows Defender).

Aktiviere dort deine Firewall und stelle sicher, dass dein PC keine eingehenden Verbindungen zulässt.

Aktiviere dort auch den Antivirus und Malware Schutz.

Hier steht wie das geht –  Micrososft- Geschützt bleiben mit Windows-Sicherheit

Verzichte auf eine zusätzliche Internet-Security Software (z.B. Antivirus) eines Drittanbieters. Windows Sicherheit ist von Haus aus eine auf Windows spezialisierte Internet-Security Suite. Falls du neben Windows Sicherheit die Internet-Security-Lösung eines Drittanbieters installierst, erhält der Hersteller tiefe Einsichten in dein System. Das ist eine unnötige Bedrohung für dich.

Schalte unerwünschte Funktionen in Windows ab

O&O ShutUp10++ – Du möchtest nicht, das deine Tastatur-Eingaben protokolliert werden? Oder das Windows deinen Facebook-Freunden dein WLAN-Passwort schickt? Mit O&O entscheidest du, wenn die die Weitergabe deiner Daten zu weit geht. Über eine einfache Bedienoberfläche legst du fest, wie Windows 10 und Windows 11 deine Privatsphäre respektieren sollen. Unerwünscht Funktionen kannst du per Mausklick deaktivieren. O&O ShutUp10++ Das AntiSpy Tool für Windows

Privacy is sexy – ist eine Website mit einem reichhaltigen Tweak-Pool, um die Sicherheit und Privatsphäre des Betriebssystems und anderer Software darauf zu schützen. Du muss keine Software auf deinem System ausführen, sondern einfach die generierten Skripte starten. Du hast volle Transparenz darüber, was die Tweaks tun, während du sie aktivierst.  Privacy is Sexy – Privatsphäre & Sicherheit für Windows und macOS.

Windows 11 S Secured Core PC’s  – Microsoft bietet mit Windows 11 S eine Windows-Version mit spezieller, zertifizierter Hardware an. Den sogenannten Secures-Core PC’s. Stand heute kann man im Windows 11 S Modus nur Software aus dem Microsoft Store laden und muss zwingend den Edge Browser verwenden.

macOS härten

Für ältere Mac’s ohne M1 oder M2 Prozessor (Apple Silicon) empfiehlt sich das Setzen des Mac-Firmware Passworts.

Das Setzen des Mac-Firmware Passwortes verhindert, dass deinen Mac von einer anderen Festplatte als der festgelegten Start-Festplatte booten kann. Zum Beispiel ist dann einem Angreifer nicht mehr möglich, deinen Mac von einem USB-Stick zu starten.

Apple – Firmware Passwort am Mac setzen

Aktiviere die Mac Firewall und konfiguriere sie so, dass keine eingehenden Verbindung möglich sind. Setze auch den sogenannten Stealth Mode auf aktiv. Damit reagiert dein Mac nicht auf Verbindungsanfragen aus dem Internet.

Apple – Stealth Modus einschalten

iCloud-Nutzung  minimieren – Ich empfehle die iCloud bei Apple möglichst nicht zu nutzen.

Du solltest deine Kontakte und deinen Kalender etc. nicht über die iCloud synchronisieren. Email-Anbieter wie z.B. Mailbox.org können Kalender und Kontakte über sogenannte CalDAV und CardDav Schnittstellen synchronisieren. Apple unterstützt das auf allen Geräten.

Ich empfehle die Daten, Bilder oder Backups nicht in der iCloud zu speichern, sondern lieber einen vertrauenswürdigen Cloud-Speicher zu nutzen.

Du solltest deinen Apps nicht erlauben die iCloud zur Synchronisation mit anderen Geräten oder zur Datenspeicherung zu nutzen.

Privacy is sexy – ist eine Website mit einem reichhaltigen Tweak-Pool, um die Sicherheit und Privatsphäre des Betriebssystems und anderer Software darauf zu schützen.

Du musst keine Software auf deinem System ausführen, sondern einfach die generierten Skripte starten. Du hast volle Transparenz darüber, was die Tweaks tun, während du sie aktivierst.  Privacy is Sexy – Privatsphäre & Sicherheit für Windows und macOS.

Antivirus oder nicht? – Soll ich auf meinem Mac eine zusätzliche Internet Security Suite eines Drittanbieters installieren? Das ist unter Sicherheitsexperten  umstritten. Der Anbieter einer solchen Lösung erhält tiefe Einsichten in dein System und deine Daten. Ist er nicht vertrauenswürdig, ist das für dich eine Bedrohung.

Experten denen deine Privatsphäre am Herzen liegt, bezeichnen deshalb die externen Internet-Security Lösungen wie sie z.B. von Kaspersky, Norton oder Bitdefender angeboten werden als “Snake Oil”. Ähnlich der fahrenden Händler die im “Wilden Westen” früher Schlangenöl als All-Heilmittel verkauft haben.

Mac OS enthält heute, ähnlich wie Windows, Schutzfunktionen gegen Antivirus und Malware. Die werden auch unabhängig von Updates regelmäßig aktualisiert. Apple – Schutz gegen Maleware in macOS

Reichen diese Schutzfunktionen aber wirklich aus, um deinen Mac von Virus, Maleware und Co. zu schützen? Dazu solltest du dir ehrlich die folgende Fragen beantworten:

• Installierst du die Updates regelmäßig und zeitnah?

• Hast Du meine Empfehlungen / Einstellungen vollständig umgesetzt?

• Kannst du Verhaltensratschläge wie z.B. App’s nur aus dem App-Store oder sicheren Quellen zu installieren oder in E-Mails keine unbekannten Anhänge zu öffnen, einhalten?

Wenn du alle drei Fragen sicher mit “Ja” beantworten kannst, solltest du aus meiner Sicht auf den Einsatz einer zusätzlichen Internet-Sicherheitslösung auf MacOS verzichten.

Linux härten

Konfiguration Linux Firewall: Aktiviere die ufw – „Unkomplizierte Firewall” und verbiete eingehende Verbindungen.

Alles Andere, was meiner Meinung nach für Einsteiger wichtig ist, wurde bereits unter Grundlegende Einstellungen und Verhaltensweisen erläutert.