Eine der häufigsten Ursachen für die Infektion eines Computers mit Schadsoftware ist der Aufruf einer infizierten Datei (z.B. mit Schadsoftware infizierte E-Mail-Anhänge) durch den Benutzer. Aber auch der Aufruf einer korrumpierten Internetseite, welche den Besuchern Schadsoftware ausliefert und versucht, Schwachstellen im Browser, Betriebssystem oder externen Anwendungen (wie Java oder Flash) auszunutzen und schädlichen Code einzuschleusen, stellt eine große Gefahr dar. Aufgrund der hohen Verbreitung von Windows-Betriebssystemen ist die Gefährdung durch Schadprogramme und unbefugtes Eindringen in das IT-System vergleichsweise hoch.

Diese Informationsseite ergänzt und konkretisiert die allgemeinen Best-Practices zur Verbesserung der IT-Sicherheit um typische Sicherheitsanforderungen speziell unter Windows 10 Arbeitsstationen (Enterprise-Edition, Version 1809 bis 1909), mit Mozilla Firefox als Web-Browser (statt z.B. Microsoft Edge) und Windows Defender Antivirus als Echtzeit-Scan-Engine gegen Schadsoftware (statt z.B. Sophos Antivirus), abweichend von der Standard-Konfiguration für diese Version.

Inhaltsübersicht

• Update- und Patchmanagement
• Deaktivieren unnötiger Funktionen
• Schutz vor Schadsoftware
• Schutz von Anmeldeinformationen und Sitzungen
• Netzwerkabschottung und Verbindungssicherheit
• Festplattenverschlüsselung (BitLocker)
• Absicherung von Remote-Desktopzugängen (Weiterleitung zur Universität Rostock)
  Hinweis: Der Leitfaden ist weitgehend allgemein verwendbar, kann aber auch Angaben enthalten, die nicht für die Universität Ulm gelten.

Für Konfigurationsempfehlungen rund um die Themen Datenschutz und Privatsphäre sei auf das "gp-pack PaT – Privacy and Telemetry" von Mark Heitbrink verwiesen. Die hier genannten Empfehlungen ergänzen diese. Viele der Empfehlungen im gp-pack PaT dienen auch der IT-Sicherheit. Zu Bedenken ist, dass manche Einstellungen zwar die Privatsphäre der Nutzer stärker schützen, sich jedoch nachteilig auf die IT-Sicherheit oder den Komfort auswirken können. Daher müssen die potenziellen Auswirkungen von Konfigurationsempfehlungen immer kritisch in den Kontext der eigenen Anforderungen und Voraussetzungen gesetzt werden. Die identifizierten, potenziell problematischen Einstellungen werden an den jeweiligen Stellen diskutiert und abweichende oder ergänzende Empfehlungen ausgesprochen.

Welche Schutzmaßnahmen auf einem Windows-10-Computer konkret erforderlich sind, lässt sich nur unter Kenntnis der tatsächlichen Umstände und der zu erreichenden Ziele und Vorgaben (Schutzbedarf) ermitteln. An dieser Stelle wird eine Auswahl an Maßnahmen vorgeschlagen, die typischerweise für dieses Betriebssystem geeignet und angemessen sind. Gegebenenfalls müssen vorgeschlagene Maßnahmen noch an die jeweiligen Rahmenbedingungen angepasst werden. Bei der Sichtung der Empfehlungen kann sich also ergeben, dass einzelne unter den konkreten Rahmenbedingungen entbehrlich oder unwirtschaftlich sind. Dies kann beispielsweise der Fall sein, wenn die entsprechenden Gefährdungen, vor denen die Maßnahmen schützen sollen, bereits durch andere Maßnahmen wirksam minimiert werden.

Die Bedrohungen sollten soweit wie möglich durch technische IT-Sicherheitsmaßnahmen auf ein akzeptables Maß reduziert werden. Bedrohungen, die nicht durch technische Mittel wirksam abgewendet werden können, sondern bei denen es dem individuellen Verhalten und Urteilsvermögen der Nutzer überlassen bleibt, die richtigen Entscheidungen zur richtigen Zeit zu treffen, müssen durch geeignete Schulungen reduziert werden.

Obgleich im eigenen Kontext nicht alle beschriebenen Maßnahmen umsetzbar sind oder im konkreten Fall wegen eines erhöhten Schutzbedarfs der verarbeiteten Daten weitere bzw. restriktivere Maßnahmen erforderlich sind, bieten sich diese Empfehlungen als Checkliste bzw. Ausgangslage an. Sie ersetzen jedoch nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge bei der Absicherung und beim Betrieb eines PC-Clients, da ihre Anwendung vertiefte Kenntnisse voraussetzen. Zudem ist Informationssicherheit als Prozess zu verstehen und erfordert ständige Wachsamkeit und Anstrengungen, die Maßnahmen an ggf. geänderte Gefährdungslagen anzupassen.