Windows 10 ist die derzeit sicherste Windows-Version. Schon bei Standardeinstellungen verrichtet das Betriebssystem in Kombination mit dem ebenfalls enthaltenen Windows Defender einen relativ guten Job. Dennoch gibt es im Sicherheitsbereich so einiges, was Windows Ihnen entweder nicht standardmässig bietet oder das Sie sich von anderswo herholen sollten. Nicht zuletzt gehört unvorsichtiges oder vorschnelles Verhalten des Nutzers zu den grossen Gefahren.

Microsoft versucht dem Nutzer das Verwenden von Windows so einfach wie möglich zu machen. Dabei gehen aber auch manche Einstellungen und nützliche Werkzeuge vergessen, die Sie kennen sollten. Diese stellen wir im Folgenden vor.

Windows zeigt normalerweise die Dateiendungen (Erweiterungen) nicht an. Damit sind Sie etwa im Bilderordner nicht nur unschlüssig, ob es sich bei Bildern um PNG- oder JPEG-Dateien handelt. Sie wissen auch nicht genau, ob eine Datei, die von sich behauptet, ein PDF zu sein, nicht doch eine potenziell schädliche Programmdatei ist, Bild 1.

Gehen Sie im Datei-Explorer im Reiter Ansicht zu Optionen/Ordner- und Suchoptionen ändern. Deaktivieren Sie die Option Erweiterungen bei bekannten Dateitypen ausblenden, Bild 2.

Eine der wichtigsten Massnahmen gegen Schädlingsbefall sind Software-Updates, die Sicherheitslücken stopfen. Stellen Sie Windows-Update so ein, dass es auch Updates für andere Microsoft-Anwendungen sucht. Gehen Sie hierfür via Start zu Einstellungen/Update und Sicherheit. Öffnen Sie Erweiterte Optionen und aktivieren Sie bei den Updateoptionen den Punkt Erhalten Sie Updates für andere Microsoft-Produkte, wenn Sie Windows aktualisieren, Bild 3.

Es empfiehlt sich hier ausserdem das Anknipsen dieser Option: Benachrichtigung anzeigen, wenn Ihr PC einen Neustart erfordert, um das Update abzuschliessen. Damit werden Sie über einen notwendigen Computerneustart informiert, können aber immer noch selbst entscheiden, wann dieser stattfinden soll. Dadurch werden Sie beim Arbeiten nicht durch Neustarts unterbrochen.

Leider nur in Pro- und Enterprise-Versionen von Windows 10 finden Sie die Sandbox. Ein solcher «Sandkasten» ist dafür gedacht, unsichere Programme oder solche aus unbekannter Quelle auszuführen, ohne Ihre richtige Windows-Installation einer Virengefahr auszusetzen. In der Sandbox finden Sie zudem einen Edge-Webbrowser, mit dem Sie unbekannte Websites besuchen können – ebenfalls ohne Gefahr zu laufen, direkt in eine Schädlingsfalle zu tappen. Obwohl die Sandbox so ähnlich wie eine virtuelle Maschine funktioniert, gibt es zu einer solchen einen grossen Unterschied: In einer richtigen virtuellen Maschine können Sie die Daten speichern und Programme dauerhaft installieren. Die Windows-Sandbox hingegen vergisst alles, was gewesen ist, sobald Sie deren Fenster schliessen.

Ist ein kompatibles Windows 10 (64 Bit, genug RAM, aktive Virtualisierung im BIOS) vorhanden, Bild 4? Klicken Sie auf Start und tippen Sie Windows-Feat ein, stossen Sie auf Windows-Features aktivieren oder deaktivieren. Scrollen Sie in diesem Fenster ganz nach unten und aktivieren Sie Windows-Sandbox. Klicken Sie auf OK, bestätigen Sie die Rückfragen und warten Sie, bis es installiert ist.

Die Sandbox können Sie anschliessend via Start und Eintippen von Sandbox starten. Per Kopieren und Einfügen (Ctrl+C und Ctrl+V) lässt sich beispielsweise eine unbekannte Installationsdatei auf die Sandbox bringen und dort ausführen. So fällt es etwas leichter zu beurteilen, was ein unbekanntes Programm genau macht und ob es sich um einen Schädling handeln könnte. Aufgepasst: Bloss, weil Ihnen ein Programm in der Sandbox nicht verdächtig erscheint, muss es nicht zwingend harmlos sein.

Den in der Sandbox enthaltenen Edge-Browser, Bild 5, benutzen Sie fürs erste Aufrufen von Websites, über deren Seriosität Sie sich ein Bild machen wollen. Auch er wird Ihr richtiges System vor allfälligen Schädlingseinflüssen bewahren, die von der besuchten Seite ausgehen könnten. Aber auch da gilt: Nach dem Schliessen des Sandbox-Fensters ist alles vergessen. Wer keine Sandbox hat, kann Dateien und Links auch via virustotal.com einer Prüfung unterziehen, siehe übernächste Seite.

Haben Sie anstelle des Windows Defenders einen anderen Virenscanner? Damit schalten sich die meisten Funktionen des Windows Defenders ab. Aus gutem Grund, denn Sie wollen keine Fehlermeldungen oder Geschwindigkeitseinbussen riskieren, bloss weil sich zwei Virenscanner gerade darum streiten, wer jetzt diese oder jene Datei scannen darf.

Dennoch haben Sie die Möglichkeit, den Windows Defender im Sinne einer zweiten Meinung Ihre Dateien scannen zu lassen. Öffnen Sie Start/Einstellungen/Update und Sicherheit. Via Windows-Sicherheit geht es nun zu Viren- & Bedrohungsschutz. Oben ist zu sehen, welches andere Antivirenprogramm bei Ihnen tätig ist. Klicken Sie aber darunter auf Optionen von Windows Defender Antivirus. Kippen Sie diese Einstellung auf Ein und bestätigen Sie die Rückfrage, Bild 6.

Dieser ist eine Art zusätzliche virtuelle «Schutzhülle» um die sicherheitskritischste Anwendung herum, nämlich um den Webbrowser. Allfällige Schädlinge können aus einem so abgesicherten Browserfenster nicht ausbrechen oder auf andere Prozesse zugreifen. Leider wird diese Funktion nur den Professional-Versionen von Windows 10 gegönnt, von denen aber auch viele in Privathaushalten stehen. Dort schützt er nicht nur den Microsoft-eigenen Browser Edge. Es gibt auch Addons für Firefox und Chrome.

Bevor Sie drauflosinstallieren, lesen Sie unseren ausführlichen Artikel dazu unter dem Link pctipp.ch/1227572. Sie werden nämlich bei jeder Webseite selbst entscheiden müssen, ob Sie ihr genügend trauen, um sie im normalen Modus zu verwenden, oder ob Sie eine Webseite lieber besser abgeschottet via Application Guard ansurfen.

So aktivieren Sie ihn, wenn Sie ihn ausprobieren wollen: Gehen Sie zu Start/Einstellungen/Update und Sicherheit. Klicken Sie in der linken Spalte auf Windows-Sicherheit und benutzen Sie im rechten Teil oben die Schaltfläche Windows-Sicherheit öffnen. Es öffnet sich ein zusätzliches Fenster. Gehen Sie darin zu App- & Browsersteuerung. Setzen Sie bei dieser Gelegenheit gleich die Optionen Apps und Dateien überprüfen sowie SmartScreen auf Warnen. Der SmartScreen für Microsoft Edge sollte auf Ein sein. Darunter entdecken Sie einen Punkt Isoliertes Browsen, Bild 7. Hier könnten Sie nun den Windows Defender Application Guard installieren. Die Links zu den Firefox- und Chrome-Add-ons finden Sie im vorhin erwähnten Artikel.

Alternative: Brauchen Sie nur gelegentlich eine Möglichkeit, eine unbekannte Webseite in sicherer Umgebung anzuschauen? Dann ist das weiter oben erwähnte Thema Sandbox etwas für Sie.

Reicht Ihnen der Windows Defender und Sie haben kein anderes Antivirenprogramm? In diesem Fall ist es eine Überlegung wert, den Ransomware-Schutz einzuschalten. Gehen Sie zu Start/Einstellungen/Update und Sicherheit. Klicken Sie bei Schutzbereiche auf Viren- & Bedrohungsschutz. Im neuen Fenster scrollen Sie ein Stück herunter und klicken unter Ransomware-Schutz auf Ransomware-Schutz verwalten. Schalten Sie den Überwachten Ordnerzugriff auf Ein, Bild 8. Die Daten in Ihrem OneDrive-Account (falls vorhanden) sind automatisch geschützt. Klicken Sie auf Geschützte Ordner, um gegebenenfalls noch weitere Ordner hinzuzufügen. Damit erkennt Windows, wenn eine unerwartete Anwendung (zum Beispiel ein Erpressungstrojaner) versucht, diese Dateien durch Verschlüsseln Ihrem Zugriff zu entziehen.

Halten Sie sich mit der Installation von Programmen zurück. Jedes schleppt wieder neue Sicherheitslücken ein. So macht die Installation eines Dutzend Sicherheitsprogramme den PC nicht sicherer. Folgende Programme und Dienste sollten Sie jedoch kennen.

Die meisten modernen Anwendungen installieren ihre wichtigen Updates selbst oder informieren den Nutzer mindestens darüber, dass es welche gibt. Hierzu gehören alle gängigen Webbrowser sowie die meisten Mail- oder Office-Programme. Ein Update oder eine Info darüber erfolgt allerdings nur, wenn Sie die Programme auch hie und da starten. Solange ein Programm nicht gestartet wird, liegt es ungepatcht auf Ihrer Festplatte und kann in diesem Zustand eine Gefahr darstellen. Zudem haben noch nicht ganz alle Anwendungen einen eigenen Update-Checker eingebaut. Deinstallieren Sie Programme, die Sie nicht brauchen, via Systemsteuerung/Programme und Features. Durchforsten Sie die anderen etwa zwei- bis viermal im Jahr manuell nach Updates, indem Sie die Anwendung starten und darin über einen Punkt wie Hilfe/Info oder Über das Programm die Versionsnummer anschauen und mit der aktuellen Versionsnummer auf der Webseite des Herstellers vergleichen. Oft finden Sie sogar direkt im Hilfe- oder Über-Menü einen Befehl wie Auf Updates prüfen.

Das macht relativ viel Arbeit, besonders bei einem etwas grösseren «Software-Zoo». Hierbei kann Sie eine Freeware wie SUMo (Software Update Monitor) unterstützen. Sie zeigt Ihnen, welche Programme veraltet sind. So können Sie sich direkt um diese kümmern und brauchen die anderen nicht auch noch abzuklappern. Auf der Hersteller-Webseite unter kcsoftwares.com/?download klicken Sie bei SUMo auf Download. Führen Sie die heruntergeladene Datei sumo_lite.exe per Doppelklick aus, bestätigen Sie die Rückfrage der Benutzerkontensteuerung und wählen Sie bei License Agreement die Option I accept the agreement. Benutzen Sie dreimal die Schaltfläche Next. Bei Select Additional Tasks entscheiden Sie selbst, ob Sie nebst den Einträgen im Startmenü auch ein Icon auf dem Desktop oder in der Schnellstartleiste (Quick Launch) wollen. Klicken Sie auf Next und Install, ist das Tool installiert. Mit dem Klick auf Finish startet das Programm – und zwar auf deutschsprachigen Systemen direkt in Deutsch. Mit Installierte Software automatisch erkennen durchsucht SUMo Ihre Festplatte nach installierten Programmen. Benutzen Sie Auf Updates Ihrer installierten Software prüfen, zeigt Ihnen SUMo die Produkte an, die vielleicht ein Update vertragen könnten. Klicken Sie im Assistenten auf Schliessen, Bild 9.

Updaten Sie jetzt aber nicht wild drauflos! Einige Updates könnten beim Software-Hersteller kostenpflichtig sein. Andere wiederum stehen vielleicht in Ihrer Sprachversion noch gar nicht bereit. Und nicht zuletzt ist nicht jede neue Version dringend nötig; vielleicht wurde in der Software etwas gepatcht, das Ihr System gar nicht betrifft oder das keine Sicherheitsrelevanz hat. Der beste Weg zum Update ist immer noch jener aus der gestarteten Anwendung heraus oder über die Webseite des jeweiligen Herstellers. Etwa bei veralteten Komponenten Ihres Virenscanners: Starten Sie Ihren Virenscanner und benutzen Sie in diesem allenfalls vorhandene Update-Funktionen. Haben Sie eine Anwendung aktualisiert, klicken Sie in SUMo mit rechts auf den Eintrag und wählen Sie Prüfen. Damit checkt SUMo genau diese Anwendung erneut – und entfernt sie im Erfolgsfall aus der Liste der akut Update-bedürftigen Software.

Vorsicht war schon immer besser als Nachsicht. Misstrauen Sie jeder unaufgefordert zugestellten Datei, jedem Download, für den unbekannte Quellen vielleicht so plötzlich Werbung machen, jedem Link in einer Mail, SMS, WhatsApp- oder sonstigen Messenger-Nachricht. Auf der Webseite virustotal.com können Sie verdächtige Dateien und Links kostenlos und schnell prüfen lassen, Bild 10.

Der Vorteil: Der Dienst versammelt die Scan-Engines von rund 70 Antivirenherstellern. Das führt zwar nicht selten zu fälschlich als Virus verdächtigten Dateien, kann aber eine Einschätzung liefern, wie weit Sie einer Datei oder einem Link trauen sollten. Eine zu prüfende Datei ziehen Sie einfach per Maus direkt ins Fenster. Geht es um einen zu prüfenden Link, klicken Sie auf URL und kopieren den Link hinein.

Es gibt Schädlinge verschiedenster Art, deren verursachter Schaden von kleinen Ärgernissen bis hin zum kompletten Datenverlust reicht. Die meisten der Gattung «Adware» ändern beispielsweise «nur» Browserstartseiten, zeigen Werbung an und fügen unerwünschte Add-ons hinzu. Andere wiederum spionieren Daten aus oder verursachen als Ransomware (Erpressungs-Trojaner) sogar erheblichen Schaden an den Dokumenten und sonstigen Dateien des Nutzers.

Das Problem ist, dass Sie nie wissen, ob eine anfangs relativ harmlose Adware nicht später doch noch Ransomware-Komponenten nachlädt. Werden Sie daher schon bei ersten beschriebenen Anzeichen einer möglichen Adware-Infektion tätig. Schnappen Sie sich den kostenlosen AdwCleaner von Malwarebytes (de.malwarebytes.com/adwcleaner). Damit rücken Sie unerwünschten Werbemodulen im Webbrowser und anderen aufdringlichen App-Zusätzen zu Leibe. Nach dem Download starten Sie die Datei, die derzeit (April 2020) adwcleaner_8.0.4.exe heisst. Im ersten Fenster klicken Sie auf I Agree. Nun gehts zu Scan Now. Kurz darauf erscheint das Resultat in einer übersichtlichen Anzeige. Verbreitern Sie allenfalls das Fenster und klappen Sie direkt vor dem Namen einer gefundenen Adware den Eintrag übers kleine Dreieck auf. Nun können Sie entscheiden, ob der Eintrag wegdarf oder ob Sie ihn allenfalls noch brauchen, Bild 11. Klicken Sie auf Next, werden Ihnen allenfalls vorinstallierte Programme gezeigt, die nicht unbedingt erforderlich sind. Übrigens: Via Settings/Application können Sie die Sprache auf Deutsch umschalten. Das bekannteste Produkt von Malwarebytes ist deren gleichnamiges Hauptprogramm, das die Funktion eines Virenscanners und -beseitigers einnimmt (de.malwarebytes.com/mwb-download). Zumindest für den Job eines Virenbeseitigers nach erfolgter Infektion eignet sich aber das nachfolgend vorgestellte Werkzeug viel besser.

Ein richtiges Antivirenprogramm soll jegliche Infektion primär verhindern, sprich, eine Installation von Schädlingsdateien vereiteln. Nicht jedem Virenscanner gelingt das in 100 Prozent der Fälle. Manchmal ist ein Trojaner schlicht zu neu oder er kann in einem dummen Moment durchschlüpfen, wenn der Virenscanner gerade aufgrund eines Fehlers nicht aktiv ist.

Nach einem Viren- oder Trojanerbefall sollte man das System komplett neu ab sauberen Datenträgern installieren; da sind sich die meisten Computerexperten einig. Der Grund: Vielleicht bekommt man zwar mit Säuberungsprogrammen die Schädlingsdateien weg, aber Sie können nie wissen, welche anderen Veränderungen ein Trojanisches Pferd oder ein Angreifer mit Zugriff auf Ihren PC sonst noch vorgenommen haben. Wenn eine Neuinstallation zeitlich nicht drinliegt und kein sauberer Reservecomputer bereitsteht, können Sie es im Ernstfall mit einem oder zwei Virenbeseitigungsprogrammen versuchen. Das unabhängige Testlabor AV-Test.org hat Anfang 2020 ein paar kostenlose Virenbeseitigungslösungen angeschaut. Am besten abgeschnitten hat das Virus Removal Tool von Kaspersky. Es hat nicht nur alle ihm vorgelegten Malware-Infektionen unschädlich gemacht, sondern war am besten in der Lage, Schädlingsreste wegzuputzen. Laden Sie das Kaspersky Virus Removal Tool (Dateiname KVRT.exe) auf kaspersky.de/downloads/thank-you/free-virus-removal-tool herunter. Speichern Sie Ihre geöffneten Dateien und beenden Sie alle anderen geöffneten Programme. Führen Sie KVRT.exe per Doppelklick aus und bestätigen Sie die Rückfrage der Benutzerkontensteuerung. Aktivieren Sie im Fenster End User License Agreement and Privacy Policy die beiden Kreuzchen bei I confirm und klicken Sie auf Accept. Es dauert einige Sekunden bis zum Programmstart.

Wenn Sie mögen, benutzen Sie Change parameters und aktivieren System drive, damit das ganze Systemlaufwerk genauer geprüft wird. So dauert der Scan aber gut und gerne eine halbe Stunde oder länger. Klicken Sie auf Start Scan. Aufgepasst: Falls Sie laut Tipp wie im ersten Teil den Ransomware-Schutz aktiviert haben, wird sich dieser jetzt kurz melden, weil KVRT in Speicherbereichen scannen will, die durch den Ransomware-Schutz blockiert werden, Bild 12. Das ist normal – und an diesem Symptom sehen Sie auch, warum es nicht ratsam ist, zwei verschiedene Virenscanner aktiv zu haben. Nach dem Scan wird KVRT seinen Bericht anzeigen. Wurde Böses gefunden, wird KVRT in der Regel einen PC-Neustart verlangen, damit es die Infektionen entfernen kann.

Die allermeisten Bedrohungen lassen sich durch Windows- und Software-Updates sowie durch die besten zwei Waffen überhaupt verhindern: Vernunft und Skeptizismus! Ausserdem ist Gerätesicherheit immer auch mit Kontosicherheit verbunden.

Immer wieder werden Onlinedienste und Webshops gehackt; teils können die Angreifer sogar auf die Mailadressen und Passwörter im Klartext zugreifen. Der Betreiber der sehr nützlichen Webseite haveibeenpwned.com kann nicht nur ein Lied davon singen, sondern listet die betroffenen Dienste und Shops unter Who’s been pwned sogar auf. Da sind auch Grössen dabei wie zum Beispiel Adobe, das Forum des Antivirenherstellers Avast, der Betreiber des Linkkürzers bitly, das Forum des Gameherstellers CD Projekt RED (Gamer kennen «The Witcher» und «Cyberpunk 2077») und viele mehr. Was wird ein Angreifer tun, der bei einem solchen Hack Ihr Passwort und Ihre Mailadresse klaut? Er wird versuchen, ob das Passwort auch für Ihr Mailkonto funktioniert. Und für Ihren Facebook-Account. Und noch für andere Sachen. Darum ist es so wichtig, für jeden Dienst ein anderes Passwort zu verwenden. Das verhindert, dass bei einem einzelnen Hack gleich Ihr ganzes Onlineleben in den Händen von Kriminellen landet.

Auf der Seite haveibeenpwned.com können Sie prüfen, ob Ihre Mailadresse bei einem bekannten Hack ebenfalls erwischt wurde und bei welchem das war. Ein Mailkonto der Autorin war zum Beispiel 2012 beim Dropbox-Hack und 2019 beim inzwischen «hopsgegangenen» Dienst verifications.io dabei. In so einem Fall ändert man am besten beim betroffenen Dienst umgehend das Passwort – und auch in allen anderen Diensten, in denen man dasselbe Passwort benutzt hat. Die Autorin hat das Dropbox-Passwort natürlich schon vor vielen Jahren geändert – und hat schon damals das Passwort nur für einen Dienst verwendet.

Eine gute Absicherung bietet es, wenn Sie beim Einloggen in einen Dienst ein zusätzliches Element eingeben müssen. Das kann der Code aus einer Bestätigungs-SMS oder einer Authenticator-App sein (siehe pctipp.ch/1480250), es kann aber auch das Anstöpseln eines FIDO2-Schlüssels sein, die Eingabe einer Geräte-PIN oder das Verwenden eines Fingerabdrucks.

Aktivieren Sie – wenn immer es ein Dienst anbietet – eine solche Zwei-Faktor-Authentifizierung. So kommt ein Angreifer schlimmstenfalls vielleicht an Ihr Passwort, aber ohne den zweiten Faktor (der nur auf Ihrem Handy oder PC liegt) kommt er in Ihre Onlinekonten nicht rein.

Zu den gefährlicheren Nachrichten bei E-Mails, SMS und sonstigen Kommunikationsdiensten gehören jene mit gefälschten Links. Eine Nachricht könnte zum Beispiel behaupten, von Ihrer Bank oder Krankenkasse zu stammen. Über einen Link sollen Sie etwas herunterladen oder Daten eingeben, weil mit Ihrem dortigen Konto etwas nicht stimme. Zunächst würde kein seriöses Unternehmen auf diesem Weg von Ihnen verlangen, etwas herunterzuladen oder Daten wie zum Beispiel Passwörter einzugeben.

Zweitens ist der Betrugsversuch meistens schon am Link erkennbar. Das wichtigste Element hierbei ist die Domain. Wenn die Domain im Link nicht tatsächlich zum erwarteten Unternehmen gehört, können Sie von einer Fälschung ausgehen. Auf den Klick auf solche Links sollten Sie verzichten. Aber wenn Sie am Desktop-PC den Mauszeiger darüber halten (ohne zu klicken), erscheint der hinterlegte Link meistens in einem Pop-up.

Schauen Sie jetzt genau hin: Denken Sie sich zunächst das http:// oder https:// weg. Suchen Sie nun im Link von links nach rechts nach dem ersten Slash (/). Das, was unmittelbar vor diesem ersten Slash steht, ist die Domain, zu der ein Link führt, jeweils mit einem Punkt von der Toplevel- bzw. Länder-Domain abgetrennt. Ein Beispiel: «https://post-fin-update.etwas.com/pfch/onl_kdl_sess.transition.htm»

Direkt vor dem ersten Slash steht hier der Teil etwas.com. Würden Sie draufklicken, wenn jemand behauptete, dieser Link führe zum Schweizer Finanzinstitut PostFinance? Hoffentlich nicht!