So wird Windows sicher

Windows ist nach einer Neuinstallation bezüglich Sicherheit solide vorkonfiguriert. Aber es gibt einige praktische Sicherheitsfunktionen und -Tools, die zwar vorhanden, aber nicht immer installiert oder aktiv sind. Oder kennen Sie Secure Boot und die Windows-Sandbox?

Sicherer booten

Moderne Windows-PCs nutzen – sofern aktiviert – die Funktion Sicherer Startzustand (englisch Secure Boot). Die Funktion prüft die digitale Signatur von Bootloadern (Startprogramme für das System) und Treibern. Sie stellt sicher, dass nur vertrauenswürdige Software ausgeführt wird und keine Schädlinge. Ist Secure Boot bei Ihnen aktiv? So prüfen Sie das schnell: Drücken Sie Windowstaste+R auf Ihrer Tastatur. Danach geben Sie msinfo32 ein und drücken Enter. Suchen Sie im neuen Fenster auf der rechten Seite – etwa an der Position 20 – nach dem Eintrag Sicherer Start­zustand. Dort sollte Ein stehen.

Ist die Funktion bei Ihnen nicht aktiv, können Sie diese einschalten, wenn bei Ihnen in der oben genannten Infoseite, etwa bei Position 15, unter BIOS Modus der Eintrag UEFI steht, Bild 1. Das geht so: Am einfachsten kommen Sie über Windows in das BIOS. Drücken Sie Windowstaste+R und geben Sie den Befehl ms-settings:recovery ein. Klicken Sie bei Erweiterter Start auf Jetzt neu starten. Ihr Rechner startet neu und zeigt einen blauen Bildschirm. Wählen Sie: Problembehandlung/Erweiterte Optionen/UEFI-Firmwareeinstellungen und klicken Sie auf Neu starten.

Ihr PC startet jetzt ins BIOS. Das sieht je nach Hersteller (HP, Dell, ASUS, MSI etc.) etwas anders aus. Suchen Sie nach einem Reiter oder Menüpunkt wie Security (Sicherheit), Boot (Startoptionen) oder Authentication. Gehen Sie zum Eintrag Secure Boot und stellen Sie ihn von Disabled auf Enabled. Zuletzt müssen Sie meist die Taste F10 für Save & Exit drücken und mit Yes oder Ja bestätigen. Prüfen Sie im Anschluss mit dem Eingangstipp, ob nun Sicherer Startzustand auf Ein steht.

Zugangsschutz mit Kamera

Windows bietet als Zugangsschutz zum System Windows Hello an. Die meisten nutzen dazu bei der Windows-Anmeldung eine PIN. Aber Sie können den Zugang auch noch besser schützen, indem Sie dazu eine Webcam nutzen. Am Computer muss diese allerdings Hello-tauglich sein. An einem Notebook funktioniert die eingebaute Kamera in der Regel immer, Bild 3.

Prüfen Sie, ob es bei Ihnen funktioniert: Drücken Sie Windowstaste+I, geben im Suchfeld Anmeldung ein und wählen Sie in der Ergebnisliste Anmeldung per Gesichtserkennung einrichten aus. Wenn bei Gesichtserkennung Hello das Feld Einrichten nicht wählbar ist, haben Sie entweder keine kompatible Kamera oder Sie haben noch kein Anmeldepasswort vergeben. In diesem Fall müssen Sie zuerst etwas weiter unten bei Kennwort ein Kontokennwort festlegen. Danach klicken Sie bei der Kamera auf Einrichten. In einem kurzen Dialog wird ihr Gesicht erkannt und für die spätere Freigabe gespeichert, Bild 4.

Nutzen Sie als zweite Freigabeoption am besten die Option PIN. Falls die Gesichtserkennung mal klemmen sollte, können Sie auch schnell per PIN zugreifen.

Microsoft-Konto nutzen

Einige Anwenderinnen und Anwender haben bei der Windows-Installation oder Aktivierung die Nutzung eines Microsoft-Kontos umgangen. Das funktioniert, sofern man keine besonderen Funktionen braucht, zum Beispiel Office-Programme oder OneDrive im Online-Abo. Viele kennen aber nicht alle Vorteile, die ein aktives Microsoft-Konto punkto Sicherheit mit sich bringt.

• Bitlocker-Wiederherstellung: Wird ein Laufwerk verschlüsselt, wird der 48-stellige Zahlencode im Konto gespeichert und bei Problemen automatisch genutzt. Er lässt sich zwar auch aufschreiben oder auf einem USB-Stick speichern, aber ist der Code verloren, funktioniert nur noch das Zurücksetzen des Geräts, was alle Dateien löscht.

• Gerät finden: Die Suche – etwa nach einem Notebook – funktioniert nur mit aktivem Microsoft-Konto. Dort lassen sich die Geräte lokalisieren, sofern dies zuvor auf den Geräten aktiviert wurde.

• Gesicherte Hello-Anmeldung: Die biometrische Anmeldung funktioniert zwar lokal, aber die PIN-Wiederherstellung ist an das Microsoft-Konto gekoppelt. Wenn Sie Ihre PIN vergessen, kommen Sie ohne Konto nicht mehr ohne Weiteres in Ihr Windows-System.

• Überwachter Ordnerzugriff: Diese Funktion schützt wichtige Ordner wie Dokumente, Bilder und Videos. Schlägt eine Ransomware zu und verschlüsselt die Daten, lassen sie sich via OneDrive per Klick wiederherstellen, ein Microsoft-Konto vorausgesetzt.

Microsoft-Konto schützen

Nutzer eines Microsoft-Kontos können sich mit einem verknüpften Windows-System direkt in ihr Konto einloggen. Meistens wird zur Authentifizierung wahlweise ein Kennwort oder ein Code per SMS oder E-Mail genutzt. Im Prinzip kann sich so jeder bei einem Microsoft-Account anmelden. Daher sollten Sie unbedingt zusätzliche Sicherheit einsetzen; Sie können für Ihr Konto eine 2-Faktor-Authentifizierung aktivieren und sogar das Passwort entfernen, Bild 5.

Experten empfehlen an dieser Stelle die zuvor genutzten Anmeldeoptionen wie oben genannt, plus einen zweiten Faktor, etwa eine Authentifizierungs-App am Handy. Microsoft rät natürlich zum eigenen Authenticator. Wir bevorzugen den Google Authenticator, da dieser an ein Google-Konto gebunden ist und dort gesichert wird. Auch der Umzug auf ein neues Gerät ist damit simpel. Wer iOS nutzt, hat die Auswahl zwischen beiden Authenticator-Apps im App Store. 

Die zusätzliche Kontoabsicherung ist einfach und schnell eingerichtet: Zuerst loggen Sie sich wie gewohnt in Ihr Microsoft-Konto ein und wählen links im Fenster den Punkt Sicherheit aus. Unter dem Eintrag Konto­sicherheit wählen Sie die Option Verwalten, wie ich mich anmelde. Auf der Seite Sicherheit finden Sie unter dem Eintrag Zusätzliche Sicherheitsoptionen den Punkt Zweistufige Überprüfung und die Schaltfläche Aktivieren. Der Dialog dahinter ist intuitiv. Falls Sie die Authenticator-App von Google statt der App von Microsoft verwenden wollen, müssen Sie das nur im Dialog auswählen. Anschliessend erhalten Sie einen QR-Code, den Sie mit der Google-Authenticator-App filmen und so einen neuen Eintrag erhalten. Dieser generiert automatisch jede Minute einen sechsstelligen Zahlencode, den Sie zum Einloggen nutzen. Das heisst: Sie öffnen bei jedem Einloggen die Authenticator-App, um den Code abzurufen.

Gerät suchen

Viele Anwender wissen, dass man bei Android eine Geräte­suche aktivieren kann, um ein Gerät wiederzufinden oder nach einem Diebstahl zu orten. Was die wenigsten wissen: Das funktioniert auch bei Windows, sofern man ein Microsoft-Konto nutzt. An einem Windows-Desktop-PC ist die Funktion natürlich unnütz. Aber für alle Notebooks und Convertibles ist das eine gute Sicherheitsfunktion. Standardmässig ist die Gerätesuche deaktiviert. Wenn die Funktion eingeschaltet ist, kann der Standort eines Geräts über einen Microsoft-Account ermittelt werden, solange das Gerät mit dem Internet verbunden ist oder war, Bild 6. Für die Aktivierung drücken Sie die Tasten Windowstaste+I, wechseln zum Punkt Datenschutz und Sicherheit und klicken auf Mein Gerät suchen. In den Untermenüs schieben Sie zur Aktivierung den Regler auf Ein. Der Punkt darunter führt Sie direkt in Ihr Microsoft-Konto und zeigt alle Geräte und deren Standort an, sofern dort die Funktion aktiv ist.

Änderungen bestätigen

In Windows gibt es seit einigen Jahren die sogenannte Benutzerkontensteuerung UAC (User Account Control). Sobald am PC eine grosse Änderung passiert, etwa wenn sich ein Programm installieren will, wird ein Sicherheitsdialog eingeblendet. Darin wird der Nutzer explizit aufgefordert, dem folgenden Prozess zuzustimmen.

Allerdings nutzt Windows als Standard nur die Stufe 3 von 4 möglichen. Bei Stufe 1 erfolgt keine Benachrichtigung oder Nachfrage beim Nutzer. Bei Stufe 2 nur bei Installationen. Die Stufe 3 ist der Standard und ein Mix aus hoher Sicherheit und weniger Nachfragen. Aber wenn es um die höchste Sicherheit geht, ist Stufe 4 ein Muss. Denn nur so bekommen Sie jede Änderung am System, an der Firewall oder durch Programme mit.

Das Aktivieren ist recht simpel geregelt: Geben Sie bei Windows im Suchfeld in der Task­leiste einfach UAC ein, was Sie zur Option Einstellung der Benutzerkontensteuerung ändern bringt. Dort schieben Sie den Regler ganz nach oben, Bild 7. Nach einem Klick auf OK müssen Sie die Aktion als Administrator bestätigen, eventuell per Passwort.

Sandbox aktivieren

Eine Sandbox ist eine tolle Sache: Sobald Sie eine verdächtige Datei oder zum Beispiel eine seltsame ZIP-Datei bekommen, können Sie diese in einer Sandbox gefahrlos öffnen und testen, ohne dass es Auswirkungen auf den Rest des Systems hat. Denn selbst Malware kann aus solch einer Box nicht ausbrechen, die nichts anderes ist als ein Mini-Windows ohne Ausgang oder Zugriff auf ihr eigentliches Windows. Und: Wird die Box geschlossen, werden hinzugefügte Dateien automatisch sicher gelöscht. Die Sache hat nur zwei kleine Haken: Die Windows-Sandbox gibt es nur ab der Windows Pro-Version und der PC muss einen Prozessor mit aktiver Virtualisierung haben. Fehlt das, hilft der spätere Tipp mit dem Tool Sandboxie-Plus weiter.

Kann Ihre CPU Virtualisierung?

Das ist einfach zu prüfen! Drücken Sie einfach die Tastenkombi Ctrl+Alt+Delete um den Taskmanager zu starten. Danach wählen Sie Leistung und CPU aus. Im Bild muss rechts unten Virtualisierung: Aktiviert stehen (der Eintrag hat eine winzige Schrift). Ist alles okay, geht es zum nächsten Schritt, Bild 8.

Windows-Sandbox installieren

Geben Sie in das Suchfeld Windows-Features ein. In der Auswahl klicken Sie auf Windows-features aktivieren oder deaktivieren. In der Auswahlliste finden Sie ganz unten den Punkt Windows-Sandbox. Aktivieren Sie das Kästchen und klicken Sie auf OK, Bild 9. Nachdem sich die Box installiert hat, müssen Sie Windows neu starten. Das kann recht lange dauern. Danach finden Sie das Programm unter Start als Windows Sandbox. Damit haben Sie ein Test-Windows, bei dem nichts in Ihr System eindringen kann. Testdateien oder verdächtige E-Mail-Anhänge ziehen Sie einfach in die Sandbox hinein und entpacken die Datei dort mit dem Datei-Explorer, Bild 10.

Ich habe kein Windows Pro

Wenn Sie keine Pro-Version von Windows besitzen, nutzen Sie das kostenlose Open-Source-Tool Sandboxie-Plus. Dieses Windows-Programm legt einen geschützten Bereich auf Ihrer Festplatte an und nutzt eine isolierte Programmumgebung. Nach der Installation lässt sich zum Beispiel eine isolierte Kopie des Webbrowsers starten und so eine gefährliche Webseite ansurfen.

Aber auch andere Programme oder Prozesse stehen zur Auswahl. Läuft ein Programm in isolierter Form, erkennen Sie es leicht, denn es hat einen dicken gelben Rahmen um das Programmfenster. Beim Anlegen neuer Boxen ist Ihnen ein Assistent behilflich, Bild 11.

Autostart kontrollieren

Wird ein USB-Stick oder eine USB-Festplatte angesteckt, öffnet sich automatisch ein neues Fenster und eventuell ein Programm im Autostartmodus direkt vom Medium. Das nutzen Cyberangreifer aus und starten so direkt eine Malware. Die Angriffstechnik ist zwar alt, aber sie erlebt gerade ein Comeback. Schalten Sie daher den Autostart ab, oder lassen Sie ihn immer nachfragen, ob er starten soll.

Drücken Sie dazu Windowstaste+I und wählen Sie links Bluetooth & Geräte. Rechts unter Automatische Wiedergabe greifen Sie bei Wechseldatenträger und Speicherkarte im Listenfeld jeweils zu Jedes Mal nachfragen oder Keine Aktion durchführen, Bild 12.