Eine Firewall muss nicht nur sicher, sondern auch einfach zu bedienen sein. Das gilt besonders für Anfänger und PC-Neulinge. Auf die Firewall von Windows 7 oder Windows 8 und 8.1 trifft das zu. Einmal eingeschaltet, verrichtet sie im Hintergrund zuverlässig ihren Dienst und nervt nicht mit kryptischen Meldungen. Profis vermissen jedoch weitere Konfigurationsmöglichkeiten. Die gibt es bei der Windows-Firewall – allerdings hat Microsoft sie gut versteckt.
Die versteckte Profi-Variante der Windows-Firewall
Um zu den Profifunktionen der Windows-7- und Windows-8/8.1-Firewall zu gelangen, drücken Sie die Tastenkombination [Windows-Taste]+[R], geben in das darauf erscheinende Fenster
wf.msc
ein und klicken auf OK.
Es erscheint das Profi-Fenster der Windows-Firewall. Per Klick auf die Bereiche Eingehende Regeln oder Ausgehende Regeln sehen Sie zum Beispiel, nach welchen Regeln das Schutzprogramm die Datenpaketen der verschiedenen Programme behandelt.
Per Doppelklick auf einen Eintrag erkennen Sie unter anderem, über welche Protokolle und Ports (Schnittstellen) das Programm übers Internet kommunizieren darf – und über welche nicht. Wichtig: Die erweiterten Funktionen sind wirklich nur etwas für Profis. Als Laie können sich die Einstellungen zwar gefahrlos anschauen, sollten die Standardeinstellungen aber unverändert lassen.
Die schöne USB-Welt ist dahin. Jahrelang hat man sich daran gewöhnt, dass man USB-Geräte wie Kameras, Tastaturen, Festplatten und Sticks nur an den Rechner stöpseln und sofort damit arbeiten kann. Der Virenscanner kümmert sich ja darum, dass sich keine Schadsoftware einnistet. Die Zeiten sind vorbei. Forscher haben herausgefunden, dass sich USB-Sticks und andere USB-Geräte so manipulieren lassen, dass das bloße Anstöpseln bereits den Rechner infiziert. Aktuelle Virenscanner und Schutzprogramme haben gegen die USB-Angriffe keine Chance.
Schwachstelle USB-Firmware
Virenscanner gehen so vor: Wird ein neuer USB-Stick angeschlossen, untersuchen sie den Speicher des Sticks. Die neue Angriffsmethode basiert allerdings nicht auf der Manipulation des USB-Speichers, sondern geht eine Etage tiefer. Die Berliner Sicherheitsforscher Karsten Nohl, Jakob Lell und Sascha Krißler von der Berliner Security Research Labs GmbH manipulierten mit ihrer Malware „BadUSB“ nicht den Arbeitsspeicher des USB-Sticks, sondern die Firmware auf dem Prozessor. Jedes USB-Gerät ist im Grunde ein kleiner Computer mit Prozessor und Arbeitsspeicher. Und dieser Prozessor bzw. Controller-Chip auf dem USB-Stick bzw. dessen Firmware lässt sich so manipulieren, dass er von Antiviren- und Schutzprogrammen nicht erkannt wird, da diese nur Zugriff auf den Speicher, nicht aber den USB-Controller-Chip haben.
Das Perfide: Der manipulierte USB-Stick gaukelt dem Rechner vor, eine Tastatur zu sein. Angreifer können darüber dann den Rechner fernsteuern und Menüs öffnen, Befehle ausführen, Dateien öffnen, Kennwörter ausspähen und vieles mehr. Betroffen sind nicht nicht Windows-Rechner, sondern auch Macs und Linux.
Die Gefahr geht nicht nur von USB-Sticks aus. Generell könnte jedes USB-Gerät betroffen sein, da auch Kameras, Smartphones usw. über einen USB-Controller verfügen. So könnte eine manipulierte angeschlossene USB-Kamera eine Netzwerkkarte simulieren und Daten abzapfen oder ein USB-Lautsprecher eine Webcam vortäuschen und heimlich Ton- und Bildaufnahmen machen. Und das alles, ohne dass Antiviren- und Schutzprogramme auch nur den Hauch einer Chance hätten, da sie die manipulierten USB-Controller nicht aufspüren können.
Gegenmaßnahmen per Software
Was kann man gegen BadUSB und andere Angriffe per manipuliertem USB-Controller-Chip machen? Es existieren nur wenige Sicherheitsmaßnahmen, die zudem einen tiefen Eingriff ins System erfordern. So könnte man dem Rechner vorschreiben, immer nur eine Tastatur, nur eine Netzwerkkarte, nur eine Webcam usw. zuzulassen. Allerdings bekämpft man damit nur die Symptome der Angreifer, nicht die Angriffe selbst.
Eine gute Nachricht gibt es zumindest: Damit Angreifer erfolgreich sind, müssen sie direkten Zugang zum Rechner haben und ein manipuliertes USB-Gerät anschließen. Bei Privatrechnern ist das meist kein Problem; hier weiß man wer mit den Rechnern arbeitet. Auf Firmen-PCs oder in Restaurants und Internetcafes sieht das anders aus. Um sich hier gegen manipulierte USB-Geräte zu schützten, gibt es eigentlich nur eines: der Verzicht auf USB.
Dazu könnte man den Zugriff auf USB-Geräte verhindern, indem softwareseitig die USB-Schnittstellen einfach abgeschaltet werden. Wie so etwas funktioniert, haben wir in den Tipps Windows USB-Ports sperren oder Fremde USB-Sticks am eigenen Computer nicht zulassen beschrieben. Allerdings beziehen sich dieses Schutzmaßnahmen nur auf auf USB-Sticks und -Festplatten.
Eine andere Möglichkeit: Im Geräte-Manager die USB-Schnittstellen deaktivieren. Allerdings stellt sich dann die Frage, wie man Tastatur und Maus anschließt. Schließlich gibt es fast nur noch USB-Tastaturen und -Mäuse und kaum noch Rechner mit dem alten PS/2-Anschlüssen.
Gegenmaßnahmen auf die harte Tour: Heißkleber
Um ganz auf Nummer sicher zu gehen, greifen einige Firmen zu drastischen Methoden, die aber Wirkung zeigen. Damit Mitarbeiter nicht einfach USB-Geräte mitbringen und an Firmen-Rechner anschließen, werden die USB-Ports einfach mit einer Heißklebepistole und einer Portion Heißkleber zugeklebt. Das ist problemlos möglich, da die Klebemasse nicht leitet (und somit keinen Kurzschluss verursachen kann) und erfolgreich verhindert, dass ein USB-Stecker in den USB-Port passt. Wer zu solchen Mitteln greift, sollte sich aber im Klaren sein, dass man damit seine USB-Ports unwiederbringlich zerstört. Zudem bleibt noch immer ein Schlupfloch, da Maus und Tastatur ja weiterhin per USB angeschlossen bleiben – Angreifer könnten einfach die Maus abstöpseln und an den dann freien USB-Port den verseuchten Stick anstöpseln. Keine guten Aussichten und viel Arbeit für die Sicherheitsexperten.
Bei allen Windows-Versionen führt die Änderung von Systemeigenschaften, wie beispielsweise der Computername, -beschreibung oder das Anschließen an Arbeitsgruppen, über die Systemsteuerung. Um dorthin zu gelangen, muß man sich normalerweise durch etliche Fenster klicken. Dabei geht es auch ohne viel Klickerei.
Über das Fenster „Ausführen“ gelangen Sie mit einem Schritt direkt zu den Systemeigenschaften. Dazu öffnen Sie mit der Tastenkombination [Windows][R] das Fenster „Ausführen“, geben in die Befehlszeile
control ports
ein und klicken auf „OK“.
Direkt im nächsten Fenster öffnet sich die Registerkarte „Computername“ . Um Computerbeschreibung, -name oder die Arbeitsgruppe zu ändern, klicken Sie auf die Schaltfläche „Ändern“ und nehmen die gewünschten Änderungen vor.
Bestätigen und schließen Sie alle offenen Fenster mit „OK“.
Dieser Trick funktioniert unter Windows 7, Vista und XP.
Übrigens: Mit dieser Abkürzung erhalten Sie ebenfalls sofortigen Zugriff auch auf die anderen Funktionen der Systemeigenschaften wie „Automatische Updates“, „Hardware“ und vieles mehr.
Cookies helfen uns bei der Bereitstellung unserer Tipps. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir Cookies setzen. OKMehr erfahren
Mehr erfahren
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
