Mehr ist manchmal weniger

Inhaltsverzeichnis

Da guter Virenschutz unverzichtbar ist, haben wir das Testfeld auf Kandidaten beschränkt, deren Antivirus-Paket in c’t-Tests bereits gut abgeschnitten hat: Avira, BitDefender, G Data, Kaspersky und Symantecs Norton. Weil sich bei den Antivirus-Komponenten nichts Grundsätzliches geändert hat, haben wir diese nicht erneut getestet. Details können Sie in den zugehörigen Artikeln nachlesen [1, 2] ; einen Überblick über die jeweiligen AV-Ergebnisse liefert die Tabelle auf Seite 126 in c't 5/10. Beim aktuellen Test konzentrierten wir uns auf die in allen Suiten enthaltenen Kernkomponenten Firewall, Anti-Spam und Kinderschutz.

Bei den Firewalls sind zum Glück die Zeiten vorbei, in denen man mühselig selber Regeln erstellen oder kryptische Fragen wie „Wollen Sie gestatten, dass svchost.exe eine Verbindung ins Internet aufbaut?“ beantworten musste. Die wichtigste Aufgabe einer Personal Firewall ist es nach wie vor, den PC möglichst gut gegen ein feindliches Netz abzuschotten.

Allerdings ist dieses Netz nicht immer gleich böse. Zu Hause hält der Router ungeladene Gäste draußen und man will im Heimnetz möglichst unkompliziert auf die Dateien der anderen Rechner zugreifen können. Hängt man hingegen via DSL direkt am Internet oder surft an einem öffentlichen WLAN-Hotspot, sollen Fremde diese Dienste nicht erreichen können – am besten wäre das System dort komplett unsichtbar.

Dafür braucht man jedoch keineswegs Zusatzsoftware. Die eingebaute Windows Firewall erledigt das bereits recht zuverlässig und schottet seit Windows XP Service Pack 2 direkte Internetverbindungen gegen unerwünschte Zugriffe von außen ab. Seit Vista ist das noch komfortabler geworden: Beim ersten Verbindungsaufbau mit einem Netz fragt das System, ob es sich dabei um ein Heimnetzwerk, einen Arbeitsplatz oder ein öffentliches Netz handelt. Diese Auswahl merkt sich Windows anhand eindeutiger Parameter wie der MAC-Adresse des Default-Gateways und wählt zukünftig automatisch die richtigen Einstellungen für dieses Netz.

Bei den Heim- und Arbeitsplatznetzen agiert die Windows Firewall sehr freigiebig und gewährt Zugriff auf Dateifreigaben oder UPnP-Streaming-Dienste. Ist das System jedoch mit einem öffentlichen Netz verbunden, sind per Default erst mal überhaupt keine Dienste von außen zu erreichen; Verbindungen von drinnen nach draußen sind jedoch weiterhin erlaubt. Der Anwender kann also beruhigt am WLAN-Hotspot surfen und seine E-Mail abrufen, ohne dass der Nachbar gleich in freigegebenen Ordnern oder auf dem vielleicht installierten Webserver stöbern kann.

Aber das heißt keineswegs, dass es an der Windows Firewall nichts zu verbessern gäbe. So darf sich jede Applikation bei der Installation selbst in die Ausnahmeliste der Firewall eintragen. Auf diese Weise schaltet sich etwa das Fernwartungs-Tool RealVNC für Zugriffe aus privaten Netzen frei. Andere Programme wie Skype sind nicht so zimperlich und weiten das präventiv und ohne nachzufragen gleich mal auf alle Netze aus. Leider ist das beileibe keine Ausnahme.

Das hat zur Folge, dass ein Angreifer etwa am Flughafen-Hotspot das installierte Skype auf einer Reihe von Ports ansprechen kann. Was er dabei alles anstellen könnte, weiß niemand so genau. Aus Sicherheitssicht wäre es auf jeden Fall wünschenswert, wenn eine Personal Firewall das zumindest optional etwas rigider handhabte und bei Kontakten zu feindlichen Netzen nichts ungefragt von außen reinließe.

Gegenüber einer reinen Netzwerk-Firewall hat die Personal Firewall auf dem PC außerdem den Vorteil, dass sie feststellen kann, welches Programm für eine bestimmte Netzwerkverbindung verantwortlich ist. Im Idealfall könnte sie also die Guten gewähren lassen und nur den Bösen auf die Finger hauen. In der Praxis führte das zumindest früher dazu, dass letztlich der Anwender entscheiden musste, was gut und was böse war – mit den bekannt negativen Folgen für Funktionsfähigkeit, Sicherheit und den Ruf von Personal Firewalls.

Heutzutage sind die Hersteller einen Schritt weiter. Sie pflegen riesige Listen bekannter Programme und Systemkomponenten, für die sie automatisch passende Ausnahmeregeln erstellen. Die Herausforderung dabei ist es, die Tür weit genug zu öffnen, dass man erwünschte Funktionen nicht beeinträchtigt, aber auch nicht so weit, dass man sich unnötigen Gefahren aussetzt.

Für unseren Test wählten wir ein ganz einfaches Szenario. Ein Notebook mit Windows 7 wurde in ein Heimnetzwerk integriert. Es stellte dort einem anderen Windows-Rechner in der gleichen Arbeitsgruppe einen Ordner zur Verfügung und konnte seinerseits auf ein freigegebenes Verzeichnis zugreifen. Außerdem waren Skype und das Fernsteuerungsprogramm VNC installiert. Das alles funktionierte im Heimnetzwerk mit der normalen Windows Firewall reibungslos. Wenn das Notebook sich damit dann an ein fremdes Funknetz anmeldete, war es von außen nicht sichtbar; weder Dateifreigaben noch VNC waren für eventuelle Angreifer ansprechbar. Lediglich das hyperaktive Skype hatte diverse Ausnahmeregeln durch die Firewall gebohrt und war somit auch im feindlichen WLAN zu erreichen.

Die Aufgabe der Firewall der Internet-Security-Suiten war denkbar simpel: Sie sollte im Heimnetz die funktionierenden Dienste nicht blockieren, aber in feindlichen Umgebungen mindestens so gut abschotten wie die Windows Firewall – und das ohne mit Nachfragen oder Alarmmeldungen zu nerven. Pluspunkte konnten sie sammeln, indem sie den Freigänger Skype in die Schranken wiesen. Wer jetzt denkt, das wäre zu trivial, wird im Folgenden sicher überrascht. Kein einziges der kostenpflichtigen Produkte absolvierte diesen Test ohne grobe Patzer.

Spam

Über 90 Prozent aller E-Mails transportieren unerwünschte Werbung oder versuchen, die Empfänger auf Phishing-Seiten zu locken. Nur weil die Provider und Firmen bereits vorfiltern, kann man E-Mail überhaupt noch benutzen. Trotzdem gelangen immer noch genug unerwünschte Mails ins elektronische Postfach, die man entweder von Hand löschen muss – oder von einem lokalen Spam-Filter aussortieren lässt.

Die meisten E-Mail-Programme wie Thunderbird oder Windows Mail haben bereits solch einen lernenden Filter eingebaut. Dort kann man jede Mail bequem per Knopfdruck als Junk oder No-Junk kennzeichnen und den Bayes-Filter damit so lange trainieren, bis er (fast) keine Fehler mehr macht.

Doch auch hier gibt es Potenzial für Verbesserungen. Sofern der Filter etwa direkt in die Übertragung der Mail-Protokolle POP und IMAP eingreift, funktioniert er mit jedem Programm. Der Trainingsaufwand war also nicht vergebens, wenn man den Client wechselt. Allerdings sollte das Filterprogramm auch die verschlüsselten SSL-Versionen der Mail-Protokolle beherrschen. Sonst wird nicht nur die Mail, sondern auch das Passwort des Kontos im Klartext an den Server. Damit würde das Kennwort zur leichten Beute für jeden Möchtegern-Hacker, der sich zufällig im selben Netz befindet und einen Passwort-Sniffer herunterladen und starten kann. Leider mussten schon da alle Kandidaten außer einem einzigen passen.

Außerdem sollte sich der Filter trotzdem noch ins Mail-Programm einklinken und zumindest Schaltflächen zum Setzen des Spam-Status markierter Nachrichten bereitstellen. Um die Filterfähigkeiten zu testen, suchten wir aus 50 000 Mails an die c’t-Redaktion von Hand 600 erwünschte und 600 Spam-Mails heraus. Sie hatten noch keinen Spam-Filter durchlaufen; ihre Header waren im Originalzustand.

Für den Test stellten wir den Junk-Filter von Windows Mail ab und trainierten die Spam-Filter der Suite mit jeweils 100 guten und 100 schlechten Mails. Das sollte ausreichen – schließlich verfügen private Anwender üblicherweise nicht über Tausende von vorsortierten Mails zum Training des Spam-Filters. Anschließend riefen wir die verbleibenden je 500 erwünschten und unerwünschten Nachrichten vom Server ab und zählten aus, wie viele falsch eingeordnet wurden.

Als Referenz diente uns Thunderbird 3.0.1. Der kostenlose Mail-Client erkannte mit seinem eingebauten Spam-Filter nach dem Training 73,4 Prozent der Spam-Mails. Auf der anderen Seite ließ er 98,6 Prozent der erwünschten Mails passieren.

Kinderschutz

Für Kinderschutzfilter gibt es zwei Konzepte: Whitelisting oder Blacklisting. Eine Whitelist-Lösung blockiert den Webzugang und lässt nur Seiten durch, die auf einer Ausnahmeliste stehen. Sie bietet einen perfekten Schutz vor unerwünschten Inhalten, ist aber umständlich, da die Liste gepflegt werden muss. Diese Arbeit nehmen redaktionell betreute Listen wie das kostenlose fragFINN ab [3] .

Irgendwann wollen sich die Kinder oder Jugendlichen freier im Web bewegen. Dann ist es Zeit für eine Blacklist. Die kann natürlich nicht alle unerwünschten Inhalte im Internet erfassen und bietet daher nur eingeschränkten Schutz. Viele Hersteller ergänzen sie um eine Stichworterkennung, die ungeeignete Inhalte erkennen soll. Das führt aber häufig dazu, dass beispielsweise auch Aufklärungsseiten gesperrt werden.

Eine nützliche Zusatzfunktion ist das Beschränken der Online-Zeit oder der Rechnernutzung allgemein. Bei der Erziehung zur Medienkompetenz hilft ein Protokoll etwa der besuchten und blockierten Webseiten, das Ansätze zu Gesprächen liefert. Dabei muss man die Kinder und Jugendlichen aber informieren, dass sie überwacht werden. Hüten sollte man sich vor nicht altersgerechten, zu strengen Regelungen; sie führen nur dazu, dass der Nachwuchs sich andere, unkontrollierte Zugänge zum Internet sucht.

Wenn die Kinder etwas älter werden, versuchen sie irgendwann die Sperre zu überwinden. Im BIOS des Rechners sollte daher das Booten von CD-ROM oder USB-Stick unterbunden werden. Die Kinder und Jugendlichen erhalten auch besser keine Administratorrechte.

Doch leider lassen sich viele Filter auch dann noch einfach austricksen – und zwar so, dass die Eltern nichts davon bemerken. So stellte sich im Test heraus, dass außer G Data kein Hersteller Vorkehrungen dagegen getroffen hat, dass Kinder über die F8-Taste in den abgesicherten Modus booten. Dort können sie dann bei allen anderen Produkten zwar mit reduzierter Auflösung, aber unbeobachtet und unbehelligt surfen, wohin sie wollen.

Für den Test der Blacklist-Lösungen haben wir verschiedene Kategorien von Webseiten zusammengestellt. Dazu gehören Pornografie, Gewalt und Hass sowie Abofallen. Den Gegentest machten wir mit Aufklärungsseiten etwa zu Aids oder Drogen, harmlosen Informationsseiten und besonders für Kinder und Jugendliche geeignete Angebote. Insgesamt umfasste der Test über 350 URLs.

Beim letzten Test hatte die AOL Kindersicherung sehr gut abgeschnitten; an diesem kostenlosen Software-Paket mussten sich die Suiten messen lassen. In der Einstellung „13–15 Jahre“ erzielte die AOL Kindersicherung beim Sperren von Porno-, Gewalt- und Abzockseiten gute Ergebnisse: 99, 88 und 92 Prozent. Bei den braven Seiten ist der Filter etwas streng und ließ nur 48, 71 und 79 Prozent aus den Bereichen Aufklärung, Info und Kinderseiten durch. Doch Kinder können ihre Eltern über einen Link in der Sperrmeldung bitten, die Seite freizuschalten. Ähnlich arbeitet auch das ebenfalls kostenlose Microsoft Family Safety. Beide finden Sie über den Link am Ende des Artikels.

Literatur

[1] Gerald Himmelein, Christiane Rütten, Großreinemacher, Aktueller Virenschutz im Vergleich, c’t 26/09, S. 98

[2] Christiane Rütten, Gerald Himmelein, Rückkehr der Virenjäger, Antiviren-Software auf dem Prüfstand, c’t 12/09, S. 78

[3] Urs Mansmann, Kindersicheres Web, Filterprogramme für den Kinder-PC, c’t 3/09, S. 134

Den vollständigen Artikel finden Sie in c't 5/2010. (ju)