Monat: Mai 2019

Fehler: Ungenutztes Trunking-Potenzial

Kommt es zu Engpässen im Backbone oder bei Serveranbindungen, stellt sich häufig die Frage nach einem Upgrade auf 10 Gigabit Ethernet. Doch dies ist teuer, so dass viele Unternehmen die Investition scheuen und die entsprechenden Verbindungen am Anschlag fahren. Dabei gibt es eine Alternative: Mit Hilfe des Trunking , also dem parallelen Benutzen von 1 Gigabit/s-Verbindungen, kann die Bandbreite auf diesen Strecken erhöht werden. Üblich sind heute Trunks mit bis zu acht parallelen Verbindungen, was einer Bandbreite von 8 Gigabit/s entspricht.

Beim Trunking wird allerdings gerne, wie Becker aus seiner Hotline-Praxis weiß, Potenzial verschenkt: „Das Trunking kann nicht nur zur Performance-Steigerung, sondern auch zur Erhöhung der Redundanz genutzt werden.“ Das Stichwort lautet hier Cross Trunking. Hierbei werden die Ethernet-Kabel etwa zwischen zwei Stacks (Zusammenschluss mehrerer Switches zu einem logischen Switch) nicht parallel sondern über Kreuz zwischen den einzelnen Geräten geschaltet, um so bei einem Ausfall möglichst geringe Beeinträchtigungen zu haben.

Fehler: Performance-Falle Priorisierung

Allerdings warnt Becker davor, zu glauben, dass in den heutigen Netzen mit genügend Bandbreite jedes Problem gelöst werden kann. Gerade bei Echtzeitanwendungen wie VoIP oder Video seien zudem Parameter wie Delay, Jitter oder Paket Loss von Bedeutung. „Bandbreite ist kein Ersatz für Priorisierung“, unterstreicht der LAN-Experte. Bei der Priorisierung ist allerdings darauf zu achten, dass diese im gesamten Netz Ende zu Ende genutzt wird. Wird etwa nur vom VoIP-Telefon in der lokalen Arbeitsgruppe bis hin zum ersten Swicth eine Priorisierung gefahren, dann sollte sich niemand wundern, wenn es später dennoch zu Ausfällen kommt. Ebenso wichtig ist, dass alle beteiligten Geräte die Priorisierungsmechanismen auch wirklich unterstützen.

Fehler: Device-Missbrauch

In diesem Zusammenhang spricht noch eine andere Systembremse an, die häufig unterschätzt wird: Der Missbrauch von Endgeräten für Einsatzzwecke, für die sie eigentlich nicht konzipiert wurden. Gerade die langen Feature-Listen aktueller Hardware verleiten oft dazu, zu viele beziehungsweise falsche Aufgaben auf einem Gerät erledigen zu wollen. Ein klassisches Beispiel hierfür ist in Schmitts Augen ein WLAN-Access-Point. Die eigentliche Aufgabe des Geräts sei ein reibungsloser Transport der Daten per Funk. „Deshalb sollte ein Access Point als Access Point“, so der Supporter, „und ein Edge Device wirklich als Edge Device genutzt werden.“ Wer die Geräte mit ungeeigneten Aufgaben belaste, müsse sich nicht wundern, wenn hinterher die Performance leide. So gehört für Becker etwa das Routing in den Core- und nicht in den Edge-Bereich.

Fehler: TCP/IP-Bremse

Etliche unerklärliche Netzphänomene haben ihre Ursache allerdings auch auf den oberen Netzebenen: Doppelt vergebene IP-Adressen können zu den wildesten Fehlern führen. Eine Ursache hierfür sind häufig nicht erlaubte DHCP-Server im Netz, die eigenmächtig Adressen vergeben. Ob diese Server nun aus Versehen entstehen, weil ein neues Gerät per se mit aktiviertem DHCP-Server ausgeliefert wird, oder bewusst von einem User installiert werden, sei dahingestellt. Als Abhilfe hilft hier ein DHCP Server Screening, das DHCP-Pakete erkennt und im Bedarfsfall automatisch den entsprechenden Netz-Port abschaltet.

Ebenfalls oft zu beobachten ist, dass Anwender ihren Rechnern selbst IP-Adressen geben, ohne zu wissen, dass sie damit komplette Netzsegmente lahm legen können. Um dies zu verhindern, empfehlen sich Switches, die das Anlegen von White Lists erlauben, in denen eine IP-Adresse fest einer MAC-Adresse und einem Switch-Port zugeordnet ist. Kommt nun ein Datenpaket mit der falschen Zuordnung – bei D-Link nennt man diese Technik beispielsweise IP-MAC-Port-Binding (IMPB), dann blockiert der Switch den Weitertransport.

Vorbeugen statt heilen

Unabhängig von diesen Detaillösungen hat Becker für alle Anwender noch einen grundsätzlich Ratschlag auf Lager: „Dokumentieren Sie den Aufbau ihres Netzes penibel genau“. Denn diese Dokumentation ist später bereits die halbe Miete bei der Fehlersuche oder hilft bei Erweiterungen, Störungen zu vermeiden, da eventuelle Wechselwirkungen teilweise bereits beim Blick in die Dokumentation ersichtlich sind. Last, but not least, sollte sich jeder Anwender fragen, was ihn ein Netzausfall wirklich kostet. So wird ein Unternehmen in die Ausfallsicherheit eines LANs im Börsensaal – dessen Ausfall den Ruin bedeuten kann – sicherlich mehr investieren als in das LAN der Verwaltung, wo die Auswirkungen nicht so gravierend sind.

Fehler: Netzdesign

Die konsequenteste Fehlervermeidung beginnt für Becker allerdings bereits im Vorfeld beim Netzdesign: „Komplexe Netze mit VoIP und anderen Echtzeit-Anforderungen lassen sich nicht einfach mit einem gesunden Halbwissen aufbauen.“ Hier sei eine konsequente Bedarfsanalyse gefordert, die sich dann im Design niederschlagen müsse. Und dieses sei dann später bei der Umsetzung akribisch zu dokumentieren, denn gerade vergessene Komponenten oder Altlasten würden später häufig für unerklärliche Phänomene sorgen: „Sie ziehen etwa ein Kabel und dürften eigentlich keine Netzanbindung mehr haben, der Rechner bleibt aber weiter munter im Netz.“ Im vorliegenden Beispiel entpuppte sich ein längst vergessener Hub als Übeltäter.

Fehler: Loop im Netz

Ein anderer typischer Fallstrick lauert für Becker in den so genannten gewachsenen Netzen – also LANs oder Corporate Networks, die je nach Bedarf von Zeit zu Zeit erweitert werden. Oft werden hier nachträglich Kabel gezogen, die dann später zu den krudesten Phänomenen führen, wenn die Installation nicht sauber dokumentiert wurde. So können etwa Schleifen (Loops) im Netz entstehen, die dann ein Switched Network, das eigentlich auf dedizierten Verbindungen basiert, ausbremsen. Denn ein solcher Loop verursacht einen Broadcast-Sturm, der ein ganzes Netzsegment lahmlegen kann. Um das Problem zu vermeiden, hat der Netzbetreuer zwei Optionen: Das Aktivieren desSpanning Tree Protcols (STP), das aber oft von Unmanaged Switches nicht unterstützt wird, oder die Verwendung einer Loopback Detection (LBD), wie sie von verschiedenen Herstellern unter diversen Bezeichnungen offeriert wird.

Becker bevorzugt das LBD-Verfahren, denn der Spanning Tree wartet noch mit einigen Tücken auf – doch dazu später mehr. Bei der Loopback Detection ist dann zwischen einem Port- und VLAN-basierenden Verfahren zu unterscheiden. Während ersteres den Port komplett abschaltet, blockiert letzteres den Verkehr nur im VLAN, ohne den ganzen Port zu sperren.

Fehler: Fehlende Segmentierung

Gerade diese Segmentierung ist ein Grund, warum Becker den Einsatz von VLANs empfiehlt: „Sie erhöhen nicht nur die Sicherheit, sondern begrenzen Störungen auf ein Netzsegement.“ So blieben beispielsweise Broadcast-Stürme auf ein virtuelles LAN-Segement begrenzt und zögen nicht die gesamte Infrastruktur in Mitleidenschaft.

Allerdings bergen die VLANs in Kombination mit dem Spanning Tree Protocol (STP) auch eine Gefahr. Wie D-Link-Mann Becker aus der Praxis weiß, kommt es durchaus vor, dass das STP ein VLAN deaktiviert, wenn es um Redundanzen zu vermeiden eine physikalische Netzverbindung abschaltet. Auf den ersten Blick erschient dieses Phänomen unverständlich, doch die Erklärung fällt einem wie Schuppen von den Augen, wenn man sich das theoretische Konzept hinter STP verdeutlicht. Ursprünglich wurde STP entwickelt, um in geswitchten Umgebungen zwei sich widersprechende Anforderungen zu realisieren: Zum einen die Vermeidung mehrfacher Netzpfade zum Ziel, um eine Verdoppelung der Datenpakete zu verhindern; zum anderen die gleichzeitige Redundanz der Netzpfade; um beim Ausfall einer Strecke eine alternative Verbindung zu haben.

Genau diese Steuerung übernimmt STP beziehungsweise das Rapid Spanning Tree Protocol (RSTP) als neuere Variante. Hierzu kommunizieren die Switches über das Bridge-Protokoll miteinander. Zuerst wird eine sogenannte Root Bridge bestimmt, die das Oberkommando übernimmt und Startpunkt des Verbindungsbaumes (Tree) ist. Root wird normalerweise die Bridge mit der niedrigsten ID, die sich aus Priorität und MAC-Adresse ergibt. Existieren redundante Wege, so nehmen die Switches den Port mit den geringsten Pfadkosten zur Root Bridge und deaktivieren die anderen Ports, darunter eventuell auch ein VLAN.

Zudem weist das Konzept, sieht man einmal von Umschaltzeiten von bis zu 30 Sekunden ab (RSTP etwa eine Sekunde), im Fall einer Störung noch zwei andere gravierende Nachteile auf: kommt etwa ein neuer Switch in das Netz, dann kann dieser eventuell aufgrund seiner ID die Aufgabe der Root Bridge automatisch übernehmen und die ursprünglichen Verbindungszuordnungen stimmen nicht mehr, was zu Performance-Problemen führen kann. Ebenso kann es passieren, dass bei einem Ausfall ein Switch die Root-Bridge-Funktion übernimmt, der so ungünstig positioniert ist, dass das Netz zusammenbricht. Eine weitere Gefahr stellen in gewachsenen Netzen neue, ergänzende Kabel dar, die womöglich die Struktur des Spanning Trees zerstören, da sich keine eindeutigen Pfadkosten berechnen lassen.

Angesichts dieser Fallstricke rät der Consultant, „den Spanning Tree nicht sich selbst zu überlassen, sondern etwa für einen Ausfall eine Ersatz-Root-Bridge selbst festzulegen.“ Wer mit VLANs arbeitet, sollte zudem überlegen, ob er nicht mit dem Multiple Spanning Tree Protocol (MSTP) arbeitet. Dieses wird den Anforderungen der VLANs besser gerecht, da es in einem LAN mehrere Instanzen des Spanning Tree erlaubt. Für Anwender, die mit Hilfe des Spanning Tree einen Ring zur Erhöhung der Ausfallsicherheit nachbilden wollen, hat Becker noch einen anderen Ratschlag: Statt auf STP oder RSTP zu setzen, empfiehlt er herstellerspezifische Verfahren – bei D-Link etwa das Rapid Ethernet Ring Protection (RERP) – zu verwenden, da diese teilweise mit Umschaltzeiten von 200 Millisekunden aufwarten und die spezifischen STP-Nachteile nicht haben.

LAN-Kabel anstöpseln und loslegen – doch das Netzwerk streikt. Wir zeigen, wie Sie systematisch Netzwerkfehler aufspüren und beseitigen. Oder diese von vornherein vermeiden.

Alles ist sorgfältig verlegt und angeschlossen, dennoch streikt das Netz – eine Applikation funktioniert nicht oder die neue Multimedia-Applikation zickt herum. Wer jetzt bei der Fehlersuche falsch vorgeht, verschlimmbessert womöglich das Problem.

Hier hat D-Link -Senior Consultant Christoph Becker einen Ratschlag parat, der auf den ersten Blick ungewohnt und fast schon paradox klingt: Egal, ob Heimnetz oder Corporate Network, bei der Fehlersuche sollte der User auf der untersten Schicht desOSI-Layers , also im Zweifelsfall mit der Netzebene 1 (damit ist die eigentliche Netzwerk-Hardware gemeint) beginnen und sich dann nach oben arbeiten. Ungläubig halten wir ihm entgegen, dass wir genau andersherum vorgehen würden, denn auf den oberen komplexeren Netzschichten gäbe es ja vielmehr Fehlerquellen.

Eine Argumentation, die Becker im Prinzip teilt, gleichzeitig hält er uns aber entgegen: „Und was haben Sie davon, wenn Sie auf den oberen Ebenen den Fehler suchen, in Wirklichkeit aber ein Kabel einen Ermüdungsbruch hat? Sie haben die doppelte Arbeit, weil sie sich oft mit der Fehlersuche auf der falschen OSI-Ebene auch noch ihre Netzeinstellungen zerschossen haben.“ Er empfiehlt deshalb, sich bei der Suche unbedingt von der untersten OSI-Ebene nach oben vorzuarbeiten und so Fehlerquellen auszuschließen.

Fehler: Tückische Ethernet-Kabel

Der erste Blick sollte dabei den verwendeten Kabelverbindungen gelten, wie wir aus leidvoller Erfahrung selbst wissen. So brachte uns einmal ein NAS-Test fast zur Verzweiflung: Mit Fast Ethernet erzielten wir Messergebnisse, die im Rahmen des zu erwartenden waren. Schlossen wir dagegen ein Gigabit-Ethernet-Device an, brachen die Leistungen drastisch ein. Eine zeitraubende Überprüfung der Switches, Netzkarten etc. zeigte keine Auffälligkeiten. Erst als wir das optisch unbeschädigte Cat5e -spezifizierte Kabel – das ja mit Fast Ethernet funktionierte – austauschten, war der Spuk vorbei. Da der einfache Kabelaustausch, im Heim- oder Testnetz meist noch problemlos möglich, im Enterprise-LAN nicht so einfach ist, ist die Anschaffung eines Kabeltesters dringend ratsam. Dabei sollte das Testgerät aber auch alle Übertragungsarten (vollduplex, Gigabit Ethernet etc.) beherrschen, die später im Alltag gefahren werden.

Fehler: Ethernet-Treiber

Eine andere tückische Fehlerquelle stellen die Netzwerktreiber für die Interface-Karten dar. Auch wenn es uns noch nicht selbst passiert ist, so berichten User immer wieder davon, wie die seltsamsten Netzfehler mit einem Upgrade der Ethernet-Treiberverschwanden. Wer auf den Seiten des Motherboard- oder Netzwerkkarten-Herstellers keine neueren Treiber findet, sollte die Flinte nicht gleich ins Korn werfen. Die Chipsatz-Hersteller der Netz-Interfaces offerieren meist aktuelle generische Treiberversionen. Bei Windows-Systemen finden sie den Chipsatzhersteller in der Regel im „Gerätemanager“ unter „Netzwerkadapter“.

Fehler: Jumbo-Frames

Eine weitere, oft übersehene Performance-Bremse sind die so genannten Jumbo-Frames, also überlange Ethernet-Pakete. In Gigabit-Ethernet-Umgebungen sollen sie – zumindest in der Theorie – die Performance bei der Übertragung großer Dateien oder Multimedia-Files deutlich steigern. In der Praxis erlebten wir allerdings das Gegenteil: Deutliche Leistungseinbußen. Die eigentlich clevere Idee der Jumbo-Frames hat nämlich einen Haken: Alle Devices im Netz müssen diese Transferart unterstützen. Erschwerend kommt hinzu, dass dieses Verfahren nicht standardisiert ist, womit in heterogenen Umgebungen Probleme fast vorprogrammiert sind. Unser Ratschlag lautet deshalb: Deaktivieren Sie die Jumbo-Frames bis Sie die reibungslose Netzkommunikation in allen Betriebszuständen garantieren können. Danach können Sie mit diesem Performance-Booster experimentieren.

Mit unseren fünf Tipps nutzen Sie das Internet deutlich sicherer. Ohne großen Aufwand und ohne besondere Fachkenntnisse.

Es ist nicht schwierig oder aufwendig, um sich sicher im Internet zu bewegen. Ein bis zwei Stunden Zeitaufwand zum Umsetzen der folgenden Tipps genügen, damit Sie in Zukunft deutlich sicherer unterwegs sind.

1) Benutzen Sie ein VPN – überall

Eine der größten Sorgen im Bereich (Daten-)Sicherheit ist es, online ausspioniert und gehackt zu werden. Szenarien, in denen genau das passieren könnte, gibt es viele. Darunter ungeschützte, öffentliche Wi-Fi-Hotspots oder Access-Points in Hotels oder andere Orte, die bereits von Hackern übernommen wurden.

Die 2-Faktor-Authentifizierung (siehe Tipp 2) und der ausschließliche Besuch von Webseiten, die mit HTTPS geschützt sind, können das Risiko zwar minimieren. Doch auch dann haben Hacker noch ausreichend Chancen Sie auszuspionieren. Und womöglich laufen auch schon unbemerkt schadhafte Anwendungen im Hintergrund Ihres Laptops ab.

Deshalb ist es weitaus sicherer, sich auswärts nur über ein sogenanntes VPN (Virtuelles Privates Netzwerk) ins Internet einzuwählen. Dabei wird jeder eingehende und ausgehende Traffic zunächst über einen verschlüsselten Kanal an ein vertrauenswürdiges Internet-Gateway geleitet. Gleichzeitig wird Ihre aktuelle IP-Adresse verschleiert, was das Risiko für Phishing noch minimiert.

Kommerzielle VPN-Anbieter wie goldenfrog.com/vyprvpn und PureVPN bieten günstige Angebote für Einzelpersonen und kleine Unternehmen an und kosten meist zwischen 5 und 10 Euro im Monat. Nahezu alle Dienste stellen einen eigenen VPN-Client zur Verfügung, über den man sich ohne großen Konfigurationsaufwand direkt auf den richtigen Servern einwählen kann. Vom Preis abgesehen sollten Sie aber noch andere Entscheidungskriterien in die Wahl Ihres VPN-Anbieters einfließen lassen: Performance an den Orten, an denen Sie sich oft aufhalten oder an die Sie oft reisen; Anzahl an Geräten, die gleichzeitig mit dem VPN verbunden werden können; unterstützte Plattformen und natürlich Zuverlässigkeit.

Nutzer mit technischem Verständnis können auch darüber nachdenken, sich ein eigenes VPN einzurichten. Dazu brauchen Sie eine VPN-Verbindung zu einem VPN-Server im Büro oder zu einem Router zu Hause. Eine lohnenswerte Idee, denn mittlerweile sind immer mehr Router und Netzwerk-Anwendungen in der Lage als VPN-Server zu fungieren. Zum Beispiel die Fritz!Box von AVM. Aber auch mit dem Raspberry Pi können Sie ein VPN realisieren.

2) 2-Faktor-Authentifizierung für Ihre Online-Accounts

Die Wahl eines guten Passworts (möglichst lang, möglichst kompliziert) und die Verwendung unterschiedlicher Passwörter für verschiedene Accounts sind längst gängige Routine geworden. Allerdings reicht das allein bei Weitem nicht aus, um Ihren PC vor allen Gefahren zu schützen.

Es gibt verschiedenste Methoden, ein Passwort zu stehlen: Das WiFi Pineapple kann sich zum Beispiel als Wi-Fi Access-Point tarnen, spezielle Hardware schnüffelt Ihre Tastatureingaben aus und entschlüsselt selbst WiFi-Tastatur-Signale und Keylogging-Hardware (die es sogar frei über Amazon zu kaufen gibt) ist in Sekundenschnelle und nahezu unsichtbar auch in Ihrem PC eingebaut. Hinzu kommen Malware und Bugs in schlampig programmierter Software, die weitere Risiken darstellen.

Deshalb ist es ungemein hilfreich, neben dem normalen (guten!) Passwort einen zweiten, dynamischen Code bei sich zu haben, der bei Bedarf jedes Mal neu generiert wird und abgerufen werden kann. Damit bleiben Ihre Konten selbst dann noch sicher, wenn Ihr Passwort tatsächlich gehackt werden sollte.

Die einfachste und am weitesten verbreitete Form dieser 2-Faktor-Authentifizierung ist das Zusenden eines Codes via SMS an Ihr Smartphone, sobald Sie sich in Ihren Account einloggen wollen. Sie tippen dann nur noch zusätzlich den Code ein, den Sie erhalten haben und schon sind Sie eingeloggt.

Diese Art der 2-Faktor-Authentifizierung ist deswegen so sicher, weil sie etwas, das Sie wissen (Ihr Passwort) mit etwas, das Sie haben (Smartphone) kombiniert. Und nur wer beides hat, erhält Zugriff auf den Account. Allerdings streiten Experten noch über die Sicherheit des Codes, da dieser per SMS zugesandt wird: Ein eher unsicheres Nachrichtensystem, aus dem die Nachrichten auch jederzeit abgefangen werden könnten.

Noch sicherer sind hingegen 2-Faktor-Methoden, bei denen der Code direkt auf Ihrem Smartphone (oder einem anderen Gerät) generiert wird. Das geht entweder über spezielle Apps oder über Hardware-Token wie dem YubiKey (knapp 50 Euro), der an einen freien USB-Port geklemmt wird. Ganz neu und schwer im Kommen ist außerdem die Multi-Faktor-Authentifizierung, die etwas was Sie wissen (Ihr Passwort) mit etwas was Sie haben (Ihr Smartphone) und etwas was Sie sind (Ihr Fingerabdruck) kombiniert.

So ziemlich jeder Online-Service profitiert von einer 2-Faktor-Authentifizierung. Ein guter Ort, um damit zu beginnen, ist Ihr E-Mail-Account. Direkt danach sollten Sie auch Ihren Cloud-Speicher-Dienst absichern. Ihr E-Mail-Konto abzusichern ist deshalb so wichtig, weil ein gehackter Mail-Account theoretisch auch Zugriff auf all Ihre anderen Passwörter liefert. Zumindest ist der Hacker damit in der Lage, bei allen Konten, die Sie auf Ihre Mail-Adresse registriert haben, das Passwort zu ändern und Ihnen so den Zugriff zu verwehren. Sicherheits-Experten empfehlen deshalb, bei wirklich wichtigen Accounts (etwa PayPal oder Ihr Amazon-Bestellkonto) stets eine Mail-Adresse zum Registrieren zu verwenden, die ansonsten nicht in Benutzung ist.

3) Sperren Sie Ihren PC

Viele wissen es, die wenigsten tun es: Man sollte seinen PC niemals verlassen, ohne vorher eine Sperre eingerichtet zu haben – insbesondere an semi-privaten Orten wie dem eigenen Arbeitsplatz. Wenn man davon ausgeht, dass die meisten Büroarbeiter als Admins in ihren PCs eingeloggt sind, dauert es nur wenige Sekunden, um Mal- oder Spyware darauf zu installieren, die geschickt sämtliche Antivirenscanner umgeht.

Die Lösung des Problems: Richten Sie eine Passwort-Sperre auf Ihrem Gerät ein, die Ihren PC während Ihrer Abwesenheit schützt, ohne Anwendungen und Prozesse im Hintergrund zu beeinträchtigen. Am besten gewöhnen Sie es sich gleich an, Ihren PC manuell zu sperren bevor Sie den Platz verlassen. Unter Windows reicht dafür die Tastenkombination Windowstaste + L aus.

Auf dem Mac dauert das Einrichten etwas länger. Öffnen Sie zunächst die Systemeinstellungen und wechseln Sie zu Sicherheit & Privatsphäre > Allgemein. Setzen Sie ein Häkchen in die Box bei „Passwort erforderlich… nach Ruhemodus oder Bildschirmschoner“ und wählen Sie im Dropdown-Menü „Sofort“. Um Ihren Bildschirm nun zu sperren, drücken Sie Control, Shift und Power gleichzeitig. Ältere Macs mit optischen Laufwerken können gesperrt werden, indem man Control, Shift und Eject gleichzeitig drückt.

Wenn Sie nun an Ihren Arbeitsplatz zurückkehren, müssen Sie ein Passwort eingeben, um den Rechner erneut in Betrieb zu nehmen. Wenn Sie natürlich einen Laptop mit eingebautem Fingerabdrucksensor oder Gesichtserkennung haben benötigen Sie die Passwort-Sperre nicht mehr.

Auch wenn Sie es sich bereits angewöhnt haben, den Computer vor Ihrer Abwesenheit manuell zu sperren, ist eine automatische Sperre nach einer bestimmten Zeit der Inaktivität sinnvoll. Schließlich ist niemand dagegen gefeit, das Sperren doch mal zu vergessen. Alternativ dazu gibt es auch spezielle Hardware, die Ihren PC automatisch sperrt und entsperrt. Zum Beispiel den GateKeeper (ca. 60€), bestehend aus einem USB-Dongle und einer Karte, die über Bluetooth kommunizieren. Befindet sich die GateKeeper-Karte in der Nähe des PCs, wird dieser automatisch entsperrt. Entfernen Sie sich mit der Karte vom Arbeitsplatz, sperrt sich der PC automatisch.

4) Verschlüsseln Sie Ihre Festplatten

Das Verschlüsseln Ihrer Daten auf dem PC ist einer der wichtigsten Schritte auf dem Weg zu mehr Datensicherheit. Insbesondere die Festplatten mancher Firmenlaptops lassen sich in Sekunden aus- und in einen anderen PC einbauen. Oder werden auf diesem Wege mit implantierter Spyware zurückgeschickt. Wenn Sie Ihre Daten hingegen verschlüsseln, werden diese dem „Dieb“ nur als Kauderwelsch angezeigt. Und selbst, wenn Ihnen das Festplatten-Kidnapping-Szenario eher unwahrscheinlich vorkommt, bietet die Festplattenverschlüsselung zusätzlichen Schutz gegen neugierige Blicke und unrechtmäßigen Zugriff, falls Ihr Laptop einmal verloren geht oder gestohlen wird.

Windows 8.1 und Windows 10 verschlüsseln Ihre Daten automatisch – bei ersterem System müssen Sie zuvor allerdings ein wenig Vorarbeit leisten. Und Windows 10 verlangt dafür, dass Sie einen Microsoft-Account mit Administrator-Rechten benutzen oder einer Windows-Domain beitreten. Außerdem muss Ihr Mainboard über einen TPM-Chip verfügen. Geben Sie in der Taskleiste einfach den Begriff „BitLocker“ ein und wählen Sie aus der Ergebnisliste „BitLocker verwalten“ aus. Neben jeder Ihrer aufgelisteten Festplatten können Sie nun „BitLocker aktivieren“ auswählen. Für frühere Windows-Versionen ohne BitLocker bieten sich Drittherstellerprogramme an – etwaVeraCrypt .

5) Sichern Sie Ihr eigenes Wi-Fi-Netzwerk

Heim- und kleine Firmennetzwerk-Router sowie Access Points (APs) werden in aller Regel einmal eingerichtet und dann sich selbst überlassen. Es lohnt sich aber, eine halbe Stunde Zeit zu investieren, um potenzielle Sicherheitslücken in Ihrem Netzwerk ausfindig zu machen und sie zu stopfen.

Da Wireless-Signale in alle Richtungen ausstrahlen, sollten Sie eine sichere Verschlüsselungsmethode auswählen, um Spione und Datendiebe auszusperren. Sicherheitslücken in älteren Sicherheitsprotokollen wie WEP bedeuten, dass diese in wenigen Minuten ausgehebelt werden können. Auch wenn die meisten neuen Router mittlerweile WEP gegen WPA oder WPA2 getauscht haben, sollten Sie insbesondere bei älteren Modellen diesen Status überprüfen.

Auch WPA gilt heutzutage nicht mehr als sicher, denn es setzt auf das unsichere TKIP-Verschlüsselungs-Protokoll. Achten Sie also unbedingt darauf, dass Ihr Router mit WPA2 und AES-Verschlüsselung arbeitet. Unterstützt Ihr Router diese Sicherheitsmechanismen nicht, wird es Zeit für einen Gerätewechsel.

Aus Gründen der Bequemlichkeit wird für Heim- und kleine Firmennetzwerke meist ein statisches Passwort für die Verschlüsselung übermittelter Daten benutzt. Das macht es Hackern aber leicht, das Netzwerk gewaltsam zu betreten. Genau genommen gibt es sogar verschiedenste Software-Lösungen, die Hackern genau das ermöglichen. Die Komplexität eines Passworts spielt dabei gar nicht die größte Rolle, sondern vielmehr die Zeichenlänge. Mindestens 20 Zeichen sollte ein sicheres Passwort umfassen – je länger es ist, desto schwieriger wird es zu knacken.

Auch gebräuchliche SSIDs wie „Home“, „WLAN“ oder „WLAN-Netzwerk“ sollten Sie in etwas Einzigartiges ändern. Denn WPA/WPA2 benutzt die SSID als Bestandteil für den Verschlüsselungs-Passcode.

Das Befolgen unserer Tipps gibt natürlich keine Garantie dafür, dass Sie niemals ein Sicherheits-Debakel erleiden. Aber sie sind ein guter Anfang – und wer sie regelmäßig ausführt, bringt schon bald ein gutes Stück mehr PC-Sicherheit in seinen Alltag. Nicht das schlechteste in einer immer unsicherer werdenden Welt.

Auf einem typischen Windows-Rechner zeigt der Task-Manager gut und gerne 70 und mehr Vorgänge an. Für unerwünschte Programme ist es ein Kinderspiel, sich in dieser Masse zu verstecken. Mit unseren Tipps und den Tools haben Sie wieder alles im Blick.

Ein Blick in den Task-Manager von Windows, und es steht fest: Hier fehlt es an Klarheit. Bei vielen der Prozesse weiß man nicht, wozu sie gut sind, ob sie harmlos sind oder gefährlich. Damit sich das ändert, finden Sie hier die besten Tools und Tipps zur Analyse der aktiven Programme. Die große Inspektion läuft dabei in drei Schritten ab: Mit Monitoringtools entdecken Sie die meisten laufenden Programme. Mit Spezialtools kommen Sie weiteren aktiven Anwendungen auf die Spur, und mit klassischen Scannern finden Sie auch komplett versteckte Prozesse, sogenannte Rootkits.

Monitoringtools

Wenn es um aktive Anwendungen geht, ist der Windows Task-Manager die erste Anlaufstelle. Sie starten ihn über die Tastenkombination Strg-Alt-Entf und einen Klick auf „Task-Manager“. Er zeigt alle aktiven Prozesse und Dienste an. Jede Anwendung, die Sie nutzen, hat mindestens einen Prozess, der ihr zugrunde liegt. Der Task-Manager gibt zudem Auskunft darüber, wie stark ein Prozess das System hinsichtlich CPU, Arbeitspeicher, Festplatte und Netzwerk belastet. In Windows 10 hat Microsoft den Task-Manager etwas umgebaut. Prozesse und Dienste finden sich jetzt zusätzlich in einem gemeinsamen Bereich und sind dort etwas besser sortiert. Im Grunde hat sich aber nicht viel verändert: Bei vielen der Einträge weiß man nicht, wozu sie dienen. Die folgenden drei Tipps können dem abhelfen.

Drei schnelle Tipps für den Task-Manager von Windows

Natürlich sollte der Name des Tasks bereits einen Hinweis darauf geben, zu welchem Programm er gehört. Namen lassen sich allerdings leicht fälschen und sind somit kein verlässlicher Hinweis.

Anwendung anzeigen lassen: Gibt es zu einer Anwendung ein Programm mit Bedienerführung, können Sie sie manchmal über den Task-Manager in den Vordergrund holen. Dafür klicken Sie mit der rechten Maustaste auf die Anwendung und wählen – sofern angeboten – „In den Vordergrund“.

Dateipfad öffnen: Hilfreicher ist die Funktion „Dateipfad öffnen“, die sich im Kontextmenü (rechte Maustaste) von jedem Dienst findet. Hilfreich ist sie deshalb, weil der Dateipfad oft den genauen Programmnamen der zugehörigen Anwendung enthält. Zudem können Sie nachsehen, welche weiteren Dateien sich in dem Ordner befinden. Auf diese Weise bekommt man gute Hinweise, wofür der Task dient.

Online suchen: In Windows 10 startet die Funktion „Online suchen“ im Kontextmenü eines Tasks eine Internetsuche zu dem Task. Unter den ersten Suchtreffern sind meist die Sites www.file.net (deutschsprachig) und www.bleepingcomputer.com(englischsprachig), die jeweils gute Hinweise zu einem Task liefern. Für Windows 7 bietet diese Funktion der Process Explorer.

Process Explorer: Programme und Prozesse zuordnen

Die Freeware Process Explorer bietet gegenüber dem Task-Manager von Windows etliche zusätzliche Funktionen. Nützlich ist etwa das Zielscheiben-Symbol. Klicken Sie darauf, und ziehen Sie es per Drag & Drop auf ein Programmfenster. Der Process Explorer zeigt Ihnen den zugehörigen Task an. Auf diese Weise können Sie harmlose Tasks identifizieren.

Unbekannte Prozesse: Bei Verdacht auf eine Schadsoftware gehen Sie im Kontextmenü auf „Check Virustotal“.

Auch die weiteren Funktionen des Tools verschaffen Ihnen einen besseren Überblick über die laufenden Programme. Durch farbige Unterlegungen zeigt Ihnen der Process Explorer, was gerade auf dem PC vor sich geht. Gerade erst gestartete Prozesse werden grün hinterlegt, solche, die beendet werden, erscheinen in Rot. Wenn Sie im Menü auf „Options –› Configure Colors“ gehen, zeigt Ihnen das Fenster eine Farblegende, und Sie können die Zuordnungen bei Bedarf ändern. Die Baumansicht wird bei vielen laufenden Programmen schnell unübersichtlich.

Gehen Sie im Kontextmenü eines Prozesses auf „Properties“. Auf den Registerkarten „Performance“ und „Performance Graph“ erhalten Sie eine Übersicht mit den CPU- und Speicheraktivitäten. Die Registerkarte „TCP/IP“ zeigt Ihnen, auf welche Netzwerkressourcen eine Anwendung zugreift.

Wenn Sie den Process Explorer dauerhaft statt des Windows Task-Managers verwenden wollen, gehen Sie im Menü auf „Options –› Replace Task-Manager“. Sie können das Programm dann bequem über die Tastenkombination Strg-Shift-Esc starten. Um die Änderung wieder rückgängig zu machen, rufen Sie den Menüpunkt erneut auf.

So entschlüsseln Sie die vielen svchost-Prozesse

Viele Aufgaben erledigen sowohl Windows also auch die Programme von anderen Herstellern nicht als Task, sondern als Dienst. Das bietet einige Vorteile. So lassen sich Dienste beispielsweise auch schon dann starten, wenn sich noch kein Nutzer in Windows angemeldet hat. Ein entscheidendes Merkmal von Diensten ist, dass sie nicht als ausführbare EXE-Dateien daherkommen, sondern meist als DLL-Datei (Dynamic Link Library). Zwar enthalten diese DLLs grundsätzlich denselben Code wie EXE-Dateien, etwa Portable Executable und Maschinencode, doch unter Windows können DLLs alleine keine Programmaktionen ausführen.

Stattdessen lassen sich die DLLs oft von der Windows-Systemdatei svchost.exe laden und ausführen. So finden Sie die Informationen zur Systemdatei svchost.exe: Wenn Sie den Windows Task-Manager starten, finden Sie auf der Registerkarte „Details“ meist einige Dutzend Einträge mit dem Namen Svchost.exe. Wofür diese Datei gut ist, verrät der Task-Manager nicht oder nur ansatzweise, nämlich unter der Registerkarte „Prozesse –› Windows-Prozesse“.

Mehr Informationen zum jeweiligen svchost-Prozess liefert das Open-Source-ToolProcess Hacker . Dafür müssen Sie das Tool unbedingt mit Administratorrechten starten. Klicken Sie dazu mit der rechten Maustaste auf die Programmverknüpfung zum Process Hacker und wählen Sie „Als Administrator starten“.

Infos zu einem der svchost-Prozesse bekommen Sie über einen Doppelklick auf einen Task. Im Falle von svchost.exe gibt’s den besten Hinweis auf den Nutzungszweck der Datei auf der Registerkarte „General“. Hinter „Command Line“ sehen Sie, mit welchem Parameter die Datei gestartet wurde. In unserem Beispiel (siehe Abbildung) ist das etwa C:\Windows\System32\svchost.exe -k dcom-launch.

Markieren und kopieren Sie davon den Teil ab svchost, also: „svchost.exe -k dcomlaunch“, und suchen Sie genau nach diesem Text bei Google. In der Regel finden Sie auf der ersten Trefferseite auch einen Link zu einer deutschsprachigen Seite, die Sie über den Zweck der svchost-Zeile aufklärt. In unserem Beispiel hat Windows selbst ein Systemprogramm geladen.

Verdächtige Prozesse mit dem Security Task Manager finden

Das bewährte Tool Security Task Manager analysiert alle laufenden Prozesse und gibt zu jedem eine Einschätzung über dessen Gefährlichkeit ab. Die Tasks listet das Tool nach dem Wert in der Zeile „Bewertung“ auf. Je höher hier die Zahl, desto verdächtiger ist der Task. Aber auch ein hoher Wert bedeutet nicht zwingend, dass der Task bösartig ist. Um zu sehen, weshalb ein Task eine schlechte Bewertung bekommt, markieren Sie diesen und schauen Sie unten in der Bedienerführung unter „Eigenschaften“ nach. Wenn Sie sich zudem die Bewertungen von ein paar harmlosen, aber vom Security Task Manager als risikoreich bewerteten Tasks ansehen, bekommen Sie schnell ein Gefühl dafür, wie die Bewertungen zustande kommen und was als verdächtig gilt.

Aktivitäten anderer Rechner im Heimnetz überwachen

In diesem Punkt geht es weniger um heimliche Programme auf einem PC, als viel mehr um heimliche PCs in Ihrem Heimnetz. Doch auch diese möchten man ja auf keinen Fall haben.

Hier hilft das Tool Softperfect Wifi Guard . Die Shareware listet alle Computer und Geräte auf, die in Ihrem WLAN angemeldet sind. Nach der Installation zeigt Ihnen das Tool zunächst ein Einstellungsfenster an. Dort müssen Sie unter „Netzwerkadapter“ Ihre WLAN-Karte auswählen. Ist Ihr PC per Kabel mit den Heimnetz verbunden, wählen Sie die Netzwerkkarte aus. In den Standardkonfigurationen der meisten Router sind auch dann die WLAN-Geräte im Netz für den PC sichtbar. In den Einstellungen können Sie auch festlegen, dass das Tool zusammen mit Windows starten soll. Nach einem Klick auf „OK“ stoßen Sie den ersten Suchlauf über „Start Scan“ an. So scannt das Tool das Netzwerk und listet alle Teilnehmer auf. Über einen Doppelklick auf einen Eintrag können Sie genauere Infos über einen Computer erhalten und dann per „Ich kenne dieses Gerät“ als bekannten PC markieren. Das Gerät erscheint nun mit einem grünen Punkt. Haben Sie so alle vorhandenen Geräte markiert, werden neue Geräte beim nächsten turnusmäßigen Scan per Pop-up-Fenster angezeigt. In der Standardeinstellung passiert dieser Scan alle 30 Minuten. Tauchen bei einem solchen Scan neue Geräte auf, die weder Ihnen noch ein Familienmitglied noch einem Besucher gehören, sollten Sie das WLAN-Passwort ändern. So lange Sie Softperfect Wifi Guard kostenlos nutzen, verbirgt es einige Infos, etwa die MAC-Adresse von einigen Geräten, bei großen Netzwerken auch einige Geräte.

Alle automatisch startenden Programme anzeigen

Wenn Sie auf der Suche nach heimlich laufenden Programmen sind, dann sollten Sie sich unbedingt alle automatisch mit Windows startenden Tools ansehen. Diese finden Sie in den Autostart-Rampen von Windows. Dabei hilft das Tool Autoruns . Es kennt nicht nur alle Windows-Autostart-Ordner, sondern auch alle Erweiterungen für den Windows-Explorer, Internet Explorer und Microsoft Office. Nach dem Start des Tools können Sie sich durch mehrere Registerkarten klicken und die unterschiedlichen Autostart-Einträge prüfen. Es ist jedoch einfacher, sich alles zusammen auf der Registerkarte „Everything“ anzeigen zu lassen. Die Liste kann ziemlich lang sein. Deshalb sollten Sie bei „Options –› Hide Microsoft Entries“ ein Häkchen setzen. Damit blenden Sie alle Einträge aus, die zu Windows gehören, und Sie sehen nur noch die nachträglich hinzugefügten Programme. Danach entfernen Sie die Häkchen bei allen Einträgen, die Sie nicht benötigen. Gelöscht wird dadurch nichts. Sollte sich später herausstellen, dass Sie ein Programm doch benötigen, setzen Sie das Häkchen wieder. Handelt es sich dagegen um eine unerwünschte Software, sollten Sie das Programm löschen. Der bevorzugte Weg zur Deinstallation führt über die Systemsteuerung und – je nach Ansicht – „Programme deinstallieren“ oder „Programme und Features“. Sollte sich das Programm hier nicht lokalisieren lassen, wählen Sie in Autoruns im Kontextmenü den Punkt „Jump to Image“. Damit öffnen Sie den Ordner der ausführbaren Datei im Windows-Explorer. Benennen Sie die EXE-Datei um, oder löschen Sie die Datei.

Speichern und vergleichen: Nach einigen Softwareinstallationen sind häufig neue Autostart-Einträge entstanden. Um danach nicht mühsam suchen zu müssen, speichern Sie den momentanen Zustand über „File –› Save“ in einer Datei. Sie können dann später die Sicherung über „File –› Compare“ mit der aktuellen Konfiguration vergleichen. Autoruns unterlegt neue Einträge mit grüner Farbe, gelöschte Einträge erscheinen in Rot.

Tiefergehende Analyse: Nicht immer ist klar, zu welchem Programm ein Autostart-Eintrag gehört und was seine Funktion ist. Über einen rechten Mausklick und „Search Online“ starten Sie im Browser eine Internetsuche nach dem Prozessnamen, die Ihnen weitere Informationen liefert. Sie werden darüber meist auf Webseiten stoßen, die Daten über Windows-Programme sammeln. Teilweise gibt es Kommentare von Benutzern, die Herkunft und Funktion eines Programms klären.

Spezialtools

Mit den folgenden zwei Tools kommen Sie Programmen und Browsererweiterungen auf die Spur, die Sie über den Task-Manager nicht oder nicht so einfach finden können.

Gestartete Programme mit Executed Programs List checken

Sobald eine Anwendung startet, hinterlässt sie Spuren im System. Mit dem ToolExecuted Programs List machen Sie diese Spuren sichtbar. Die Freeware sammelt dafür entsprechende Vermerke aus mehreren Stellen in der Registrierdatenbank. Die Ergebnisliste reicht oft mehrere Monate zurück. In der Liste können Sie bei den meisten Anwendungen den Namen des Programms auslesen sowie ganz rechts in der letzten Spalte das Datum der letzten Ausführung.

Nach einem Rechtsklick in das Programmfenster können Sie zugunsten einer besseren Übersicht mit „Choose Columns“ einzelne, nicht benötigte Spalten ausblenden. Mit „Open Folder in Explorer“ springen Sie direkt zu dem Ordner, in dem die Anwendung liegt. Executed Programs List läuft ohne Installation. Sie können es einfach durch den Aufruf seiner EXE-Datei starten.

Manipulationen des Browsers mit einer Shareware aufdecken

Ein häufiges Opfer von Manipulationen ist der Internetbrowser. Vor allem Adware hat es auf Ihren Browser abgesehen. Das sind Programme, die Ihnen Werbung anzeigen wollen. Der Browser ist dafür der ideale Ort – aus Sicht der Adware. Denn der Browser hat natürlich Zugriff aufs Internet und kann damit jederzeit neue Werbung herunterladen. Zudem maskiert er die Adware, da man als Nutzer nur den Browser und die Werbung darin wahrnimmt, aber nicht das verursachende Programm. Solche Adware läuft meist ebenfalls heimlich auf dem PC. Oft ist sie genauso schwer zu entdecken wie ein Virus, da sie sich mit denselben Mitteln tarnt. Ein gutes Hilfsmittel gegen diese Plagen ist die Shareware Anti Browser Spy , die sich 30 Tage kostenlos nutzen lässt. Wenn das Tool eine unerwünschte Erweiterung in einem Browser findet, kann sie diese über „Jetzt reinigen“ meist auch löschen.

Scantools

Bei der Suche nach heimlich laufenden Programmen darf natürlich ein Scan mit einem Virenscanner und einem Anti-Adware-Tool nicht fehlen. Empfehlenswert sind etwa die kostenlose Avira Free Security Suite 2018 für den Virenscan und der ebenfalls kostenloseAdwcleaner gegen die Adware.

Zusätzlich zu Ihrem installierten Antivirenprogramm sollten Sie auch einen Scanlauf mit einem anderen Antivirentool starten. So finden Sie vielleicht Schädlinge, die das eine Sicherheitsprogramm übersieht. Falls Sie also das Programm von Avira nutzen, empfiehlt sich als Zusatzscanner Kaspersky Security Scan . Das Tool lässt sich auch dann nutzen, wenn bereits eine Antivirensoftware installiert ist. Wer ein Sicherheitstool von Kaspersky nutzt, kann im Gegenzug den Scanner Avira PC Cleaner einsetzen, der ebenfalls kostenlos ist und auch parallel zu einer installierten Antivirensoftware arbeitet.

Rootkit-Scanner gegen versteckte Schädlinge

Erkennen und entfernen Sie bösartige Rootkits mit dem kostenlosen Tool Malwarebytes Anti-Rootkit . Rootkits sind Programme, die sich so im System einnisten, dass sie für die meisten Tools, etwa den Windows-Explorer, aber auch für normale Antivirentools, unsichtbar sind. Malwarebytes Anti-Rootkit zählt zu den wenigen Tools, die Rootkits auch ohne Boot-DVD oder Boot-USB-Stick finden können. Das Programm startet ohne Installation, ist einfach zu bedienen, und führt Sie in Englisch durch die Schritte. Sie müssen lediglich die Ziele angeben, die Sie gescannt haben wollen. Nach dem Scan lassen sich gefundenen Schädlinge per „Cleanup“ beseitigen. Danach ist auf jeden Fall ein Neustart des PCs nötig.