Eine der häufigsten Ursachen für die Infektion eines Computers mit Schadsoftware ist der Aufruf einer infizierten Datei (z.B. mit Schadsoftware infizierte E-Mail-Anhänge) durch den*die Benutzer*in. Aber auch der Aufruf einer korrumpierten Internetseite, welche den Besucher*innen Schadsoftware ausliefert und versucht, Schwachstellen im Browser, Betriebssystem oder externen Anwendungen (wie Java oder Flash) auszunutzen und schädlichen Code einzuschleusen, stellen eine große Gefahr dar. Aufgrund der hohen Verbreitung von Windows-Betriebssystemen ist die Gefährdung durch Schadprogramme und unbefugtes Eindringen in das IT-System vergleichsweise hoch.

Diese Informationsseite ergänzt und konkretisiert die allgemeinen Best-Practices zur Verbesserung der IT-Sicherheit um typische Sicherheitsanforderungen speziell unter Windows 10 Arbeitsstationen (Enterprise-Edition, Version 1809 bis 1909), mit Mozilla Firefox als Web-Browser (statt z.B. Microsoft Edge) und Windows Defender Antivirus als Echtzeit-Scan-Engine gegen Schadsoftware (statt z.B. Sophos Antivirus), abweichend von der Standard-Konfiguration für diese Version.

Für Konfigurationsempfehlungen rund um die Themen Datenschutz und Privatsphäre sei auf das "gp-pack PaT – Privacy and Telemetry" von Mark Heitbrink verwiesen. Die hier genannten Empfehlungen ergänzen diese. Viele der Empfehlungen im gp-pack PaT dienen auch der IT-Sicherheit. Zu Bedenken gilt, dass manche Einstellungen zwar die Privatsphäre der Nutzer*innen stärker schützen, sich jedoch nachteilig auf die IT-Sicherheit und/oder den Komfort auswirken können. Daher müssen die potenziellen Auswirkungen von Konfigurationsempfehlungen immer kritisch in den Kontext der eigenen Anforderungen und Voraussetzungen gesetzt werden. Die identifizierten, potenziell problematischen Einstellungen werden an den jeweiligen Stellen diskutiert und abweichende oder ergänzende Empfehlungen ausgesprochen.

Welche Schutzmaßnahmen auf einem Windows-10-Computer konkret erforderlich sind, lässt sich nur unter Kenntnis der tatsächlichen Umstände und der zu erreichenden Ziele und Vorgaben (Schutzbedarf) ermitteln. Im Folgenden wird eine Auswahl an Maßnahmen vorgeschlagen, die typischerweise für dieses Betriebssystem geeignet und angemessen sind. Gegebenenfalls müssen vorgeschlagene Maßnahmen noch an die jeweiligen Rahmenbedingungen angepasst werden. Bei der Sichtung der Empfehlungen kann sich also ergeben, dass einzelne unter den konkreten Rahmenbedingungen entbehrlich oder unwirtschaftlich sind. Dies kann beispielsweise der Fall sein, wenn die entsprechenden Gefährdungen, vor denen die Maßnahmen schützen sollen, bereits durch andere Maßnahmen wirksam minimiert werden.

Die Bedrohungen sollten soweit wie möglich durch technische IT-Sicherheitsmaßnahmen auf ein akzeptables Maß reduziert werden. Bedrohungen, die nicht durch technische Mittel wirksam abgewendet werden können, sondern bei denen es dem individuellen Verhalten und Urteilsvermögen der Nutzer*innen überlassen bleiben, die richtigen Entscheidungen zur richtigen Zeit zu treffen, müssen durch geeignete Schulungen reduziert werden.

Obgleich im eigenen Kontext nicht alle beschriebenen Maßnahmen umsetzbar sind oder im konkreten Fall wegen eines erhöhten Schutzbedarfs der verarbeiteten Daten weitere bzw. restriktivere Maßnahmen erforderlich sind, bieten sich diese Empfehlungen als Checkliste bzw. Ausgangslage an. Sie ersetzen jedoch nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines PC-Clients, da ihre Anwendung vertiefte Kenntnisse voraussetzen. Zudem ist Informationssicherheit als Prozess zu verstehen und erfordert ständige Wachsamkeit und Anstrengungen, die Maßnahmen an ggf. geänderte Gefährdungslagen anzupassen.

 

 

Quellen und weiterführende Informationen

  • Microsoft: "Security baseline (FINAL) for Windows 10 v1809 and Windows Server 2019", 2018, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "IT-Grundschutz-Baustein SYS.2.2.3 Clients unter Windows 10", 2019, Link
  • Bundespolizei (BPOL): "SiM-08202 Client unter Windows 10", 2017, Link
  • Australian Cyber Security Centre (ACSC): "Hardening Microsoft Windows 10 version 1709 Workstations", 2019, Link
  • National Cyber Security Centre (NCSC): "End user device (EUD) security guidance - Windows 10 1809", 2018, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Analyse der 'Virtualization Based Security'-Komponenten in Windows 10", 2018, Link
  • Sami Laiho: "Black Belt Security with Windows 10", Microsoft Ignite, 2015, Link
  • Defense Information Systems Agency (DISA): "Windows 10 Security Technical Implementation Guide", 2019, Link
  • National Security Agency (NSA): "Application Whitelisting Using Microsoft AppLocker", 2014, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Sichere Nutzung von Geräten unter Microsoft Windows 10 - Empfehlungen für Privatanwender", 2017, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Themenpapier Ransomware", 2016, Link
  • Bundesamt für Sicherheit in der Informationstechnik (BSI): "Lagesdossier Ransomware", 2016, Link
  • Microsoft: "Securing privileged access", Windows Server Documentation, 2019, Link
  • Heise Zeitschriften Verlag: c't Windows (2018) - Problemlöser, 2017
  • Heise Zeitschriften Verlag: iX 6/2017, S. 114 ff., 2017