Windows Sicher & Sauber

Windows 95 und 98 wurden ohne nennenswerte Sicherheitskonzepte gebaut — das Internet war jung, Bedrohungen selten. Windows XP (2001) änderte das kaum: kein Firewall aktiv, Administrator als Standard, offene Ports. Code Red und Blaster wüteten 2001/2003 und infizierten Millionen Rechner weltweit. Der Wendepunkt: Windows XP SP2 (2004) mit aktivierter Firewall, Pop-up-Blocker und Sicherheitscenter. Vista (2007) brachte UAC (User Account Control) — lästig, aber revolutionary. Seit Windows 10 ist Defender vorinstalliert, Secure Boot Standard, BitLocker in der Pro-Version verfügbar.

• Windows XP (2001): Keine aktive Firewall, Admin als Standard — Paradies für Würmer
• Code Red (2001) und Blaster (2003): Millionen Infektionen durch offene Windows-Ports
• SP2 für XP (2004): Microsoft dreht um — Firewall aktiv, Sicherheitscenter, Datenschutz-Optionen
• Vista (2007): UAC (User Account Control) — nervend, aber effektiv gegen Privilege-Escalation
• Windows 10: Defender vorinstalliert, Secure Boot, Windows Hello, Credential Guard
• Windows 11: TPM 2.0 Pflicht, Secure Boot, VBS (Virtualization Based Security) als Standard

Microsoft veröffentlicht jeden zweiten Dienstag im Monat ("Patch Tuesday") Sicherheitsupdates. 2023 waren es im Schnitt 98 Schwachstellen pro Monat. Nicht jede ist kritisch, aber CVEs wie PrintNightmare (2021), ProxyShell (2021) und die Exchange-Lücken wurden innerhalb von Stunden nach ihrer Veröffentlichung aktiv ausgenutzt. Das Zeitfenster zwischen Patch-Veröffentlichung und Exploit in der Wildnis ist auf unter 24 Stunden geschrumpft. Wer nicht patcht, ist gefährdet.

• Patch Tuesday: Monatlich im Schnitt 98 gepatchte CVEs — viele davon aktiv ausgenutzt
• PrintNightmare (2021): Drucker-Dienst erlaubte Remote Code Execution — alle Windows-Versionen
• LSASS-Angriffe: Mimikatz & Co. extrahieren Passwort-Hashes aus dem Speicher
• Living-off-the-Land: Angreifer missbrauchen Windows-Bordmittel (PowerShell, WMI, certutil)
• UAC-Bypässe: Dutzende bekannte Techniken zum Umgehen der Benutzerkontensteuerung
• Windows 10 EOL im Oktober 2025: Danach keine Sicherheitsupdates mehr — echte Bedrohung

Windows 10/11 enthält eine beeindruckende Sammlung von Sicherheitsfunktionen, die in der Standardkonfiguration oft deaktiviert oder unbekannt sind. Windows Sandbox startet beliebige Programme in einer isolierten Wegwerf-VM — kostenlos, in Sekunden verfügbar. Credential Guard schützt mit Virtualisierung Windows-Anmeldedaten vor Mimikatz-Angriffen. Attack Surface Reduction (ASR) Rules blockieren spezifische Angriffstechniken auf Kernel-Ebene. Windows Defender Application Control (WDAC) erlaubt nur explizit erlaubte Software. Alles integriert, kein Drittanbieter nötig.

• Windows Sandbox: Einstellungen → Apps → Optionale Features → Windows Sandbox aktivieren
• Credential Guard: Schützt NTLM-Hashes vor Mimikatz — in Windows 11 Enterprise Standard
• Attack Surface Reduction Rules: Blockiert Office-Makro-Malware, Script-basierte Angriffe
• Controlled Folder Access: Schutz vor Ransomware — verhindert unerlaubte Dateizugriffe
• Windows Hello: PIN + Biometrie ersetzen Passwort sicher — Anti-Phishing by design
• BitLocker (Pro/Enterprise): Vollverschlüsselung — bei Diebstahl sind Daten unlesbar

Sicherheit beginnt mit drei Grundprinzipien: aktuell halten, minimal konfigurieren (deaktivieren was nicht gebraucht wird), und als Standardnutzer statt Administrator arbeiten. Diese drei Maßnahmen verhindern die Mehrheit aller Angriffe, bevor sie starten. Der Rest sind Optimierungen.

• Windows Update auf "automatisch" stellen — Verzögerungen öffnen Angriffsfenster
• Standard-Benutzerkonto für den Alltag — Administrator nur für Installation/Konfiguration
• Microsoft Defender aktiv lassen — keine zusätzliche AV-Software nötig
• BitLocker aktivieren (Pro-Version) oder VeraCrypt (kostenlos) für Geräteverschlüsselung
• Gastbenutzer für Familienmitglieder ohne Admin-Rechte einrichten
• Windows 10-Nutzer: Jetzt auf Windows 11 upgraden oder Linux-Migration planen (EOL Okt. 2025)