Home / How-To / Software & Apps
How-To

Windows mit BSI-Schutz: PC vor Viren schützen

Ist Windows sicher genug, um von deutschen Behörden eingesetzt zu werden? Diese Frage beantwortet das BSI mit ja, allerdings nur, wenn man eine ganze Reihe von Sicherheitsmaßnahmen durchführt. Wie Sie selber diese Maßnahmen anwenden, erfahren Sie hier.
Arne Arnold
Von Arne Arnold
PC-WELT
Das BSI gibt Tipps, wie man seine Office-Installation schützt.
Image: IDG

Kann man diesem Windows eigentlich vertrauen? Oder spioniert mich Microsoft aus? Und ist Windows 10 mit den Standardeinstellungen sicher konfiguriert? Oder ist mein PC für Hacker-Angriffe anfällig? 

Diese Fragen stellen sich viele kritische Windows-Nutzer bereits seit Jahren – und sie sind dabei in guter Gesellschaft. Denn auch das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, stellt sich diese Fragen. Es tut das in erster Linie stellvertretend für alle Bundesbehörden in Deutschland, in denen Windows eingesetzt wird. Denn für deren IT-Sicherheit ist das BSI zuständig.

Darüber hinaus informiert das BSI auch die Bürger zum Thema IT-Sicherheit

BSI prüft Datenschutz und Sicherheit von Windows 10

Bereits vor Längerem hatte das BSI den Datenschutz von Windows 10 untersucht. Das fand im Rahmen der Studie Sisyphus Win10 statt: „Studie zu Systemintegrität, Protokollierung, Härtung und Sicherheitsfunktionen“ in Windows 10. Darin wurden etwa die Telemetriedaten von Windows, das Trusted Platform Module (TPM) und die Powershell untersucht. Die Ergebnisse zum Datenschutz zeigten, dass Sie Windows mit den richtigen Einstellungen dazu bringen können, keine oder fast keine Daten mehr ins Internet zu senden. Wir haben diese Ergebnisse bereits 2019 vorgestellt . Einen Überblick über alle bisherigen Ergebnisse des BSI zur Sicherheit von Windows finden Sie auf der Startseite des Projekts Sisyphus .

Jetzt hat das BSI ermittelt, wie man Windows konfigurieren muss, damit es für Viren und Hacker kaum noch eine Angriffsfläche bietet. Herausgekommen ist eine Empfehlung zur Härtung von Windows 10 mit Bordmitteln .

Die Liste der Einstellungen umfasst zusammengenommen über 370 Punkte. Eine solche Liste in der Windows-Bedienerführung mit Anweisungen wie „Wählen Sie ‚Windows-Symbol –› Einstellungen –› Update und Sicherheit…‘“ abzuarbeiten würde Stunden dauern, und kaum jemand würde sich diese Mühe machen. Darum hat das BSI die empfohlenen Konfigurationseinstellungen als Gruppenrichtlinienobjekte (GPO) zum Download bereitgestellt . Diese lassen sich mit nur einem Befehl innerhalb von Sekunden in Windows importieren. Nach einem Neustart ist die neue Konfiguration aktiv.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die Sicherheit der Bundes-IT zuständig. Es informiert auf dieser Website aber auch die Bürger in Bezug auf sichere IT.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die Sicherheit der Bundes-IT zuständig. Es informiert auf dieser Website aber auch die Bürger in Bezug auf sichere IT.

Für welche Systeme sind die BSI-Tipps geeignet?

Die Empfehlungen aus Sisyphus Win10 richten sich in erster Linie an Behörden in Bund und Ländern sowie an Unternehmen. Laut BSI können aber auch technisch versierte Windows-Nutzer die Empfehlungen umsetzen. Voraussetzung ist allerdings, dass Sie Windows Pro verwenden. Denn die meisten der BSI-Tipps werden per Gruppenrichtlinie in Windows importiert. Diese Funktion bietet Windows Home nicht. 

Wir finden, diese Einschränkung lässt sich verschmerzen. Denn wer möchte, kann Windows Home unproblematisch auf Windows Pro updaten . Was allerdings den Wert der Empfehlungen des BSI für Privatnutzer schmälert, ist der Untersuchungsgegenstand des BSI. Dieser ist die Version Windows 10 Enterprise LTSC 2019 64 Bit in deutscher Sprache. Eine Version wie sie in Behörden und Unternehmen eingesetzt wird. Die Abweichungen zu Windows Pro sind vermutlich nicht groß. Wenn es allerdings um das Thema Sicherheit geht, können auch kleine Abweichungen schon eine Rolle spielen. Allerdings sollten diese Einschränkungen nicht der Grund sein, weshalb man als Windows-Pro-Nutzer auf die BSI-Tipps verzichtet.

Wichtig: Die Einstellungen des BSI bringen viele Einschränkungen beim Windows-Komfort. Deshalb sollten Sie sie nicht sofort auf Ihr Produktivsystem angewenden. Mehr dazu unten in unserem Fazit.

Lesetipp: 10 goldene Regeln für mehr PC-Sicherheit

Das steckt in den Gruppenrichtlinien des BSI

Das BSI gibt in einer Excel-Liste den kompletten Überblick darüber, was genau es mit den über 370 Einstellungen in den Gruppenrichtlinien bewirkt. Dazu zählen Sicherheitsoptionen wie das Anfordern eines Benutzerpassworts, wenn man Windows aus dem Standby aufweckt, oder dass die Anmeldung im Windows-Store deaktiviert wird.

Diese beiden Beispiele zeigen, wie nützlich und gleichzeitig problematisch die Einstellungen des BSI sind. Nützlich sind sie, weil sie tatsächlich die Sicherheit des Systems erhöhen. Problematisch wird das aber, wenn Sie sich etwa seit Jahren per Auto-Log-in bei Windows anmelden lassen und deshalb Ihren Benutzernamen oder das Passwort vergessen haben. Auch wenn Sie ein Programm aus dem Windows Store herunterladen wollen, das eine Anmeldung im Store verlangt, geht das mit den BSI-Regeln nicht mehr.

Die Gruppenrichtlinien deaktivieren auf dem PC auch UPnP, das zur automatischen Konfiguration im Netzwerk nötig ist. Einige Anwender werden das nicht bemerken. Andere, die etwa ihre Videos im Netzwerk speichern und per Mediaplayer darauf zugreifen, bekommen unter Umständen aber keine Verbindung mehr zu ihrem Media-Verzeichnis.

Nicht alle der 370 Punkte bringen so große Einschnitte in den Komfort von Windows. Bei einigen Punkte wird sogar die Windows-Standardeinstellung behalten.

Die Freeware Hardentools arbeitet ähnlich wie die BSI-Einstellungen. Sie deaktiviert angreifbare Funktionen von Windows. Die Änderungen lassen sich bei Hardentools leicht wieder zurücknehmen.
Die Freeware Hardentools arbeitet ähnlich wie die BSI-Einstellungen. Sie deaktiviert angreifbare Funktionen von Windows. Die Änderungen lassen sich bei Hardentools leicht wieder zurücknehmen.

Zur Sicherheit: Daten-Backup und System-Image anlegen

Bevor Sie die Gruppenrichtlinienobjekte des BSI laden, sollten Sie unbedingt ein Backup Ihrer Daten machen und zudem ein Image Ihres Systems erstellen. Ein Image ist eine exakte Kopie Ihrer Systempartition. Sollte Windows nicht mehr funktionieren oder nicht mehr so arbeiten, wie Sie sich das wünschen, lässt sich mit dem Zurückspielen des Images der vorherige Systemzustand wiederherstellen. Zumindest sollten Sie einen Wiederherstellungspunkt in Windows erzeugen. Geben Sie dazu in die Windows-Suche Wiederherstellungspunkt erstellen ein und starten Sie das angezeigte Tool. Wählen Sie darin Ihr Systemlaufwerk aus und klicken Sie auf „Erstellen“.

Mehr Sicherheit bietet ein System-Backup in eine Image-Datei auf einem externen Datenträger. Empfehlenswert dafür ist zum Beispiel das Programm Acronis True Image  oder Easeus Todo Backup Home .

So importieren Sie die BSI-Einstellungen in Windows

Wenn Sie die BSI-Einstellungen übernehmen möchten, laden Sie die folgenden vier Dateien: 

Für Einzelrechner, im Gegensatz zu PCs in Domänen, empfiehlt das BSI folgendes Vorgehen: Laden Sie sich für den Import der Gruppenrichtlinien das Microsoft Tool LPGO.exe herunter. Es ist Bestandteil des „ Microsoft Security Compliance Toolkit 1.0 “. Entpacken Sie das Tool in einen beliebigen Ordner. Es ist ein Befehlszeilenprogramm und wird dann (siehe unten) in der Eingabeaufforderung von Windows gestartet.

Entpacken Sie als Nächstes das Archiv mit den Gruppenrichtlinienobjekten des BSI. Es enthält sechs Ordner. Der Ordner „Protokollierung (ND, NE, HD) – Computer“ ist für alle Computernutzer interessant. Von den übrigen fünf beginnen drei mit dem Namen „Normaler Schutzbedarf“. Diese empfiehlt der BSI für interessierte Privatanwender. Die beiden Ordner mit Namen „Hoher Schutzbedarf“ können Sie ignorieren. Natürlich müssen Sie nicht alle drei Gruppenrichtlinienobjekte importieren, doch ist das die Empfehlung des BSI.

Sie benötigen das Befehlszeilen-Tool LGPO.exe, um die Gruppenrichtlinienobjekte des BSI in Ihr Windows zu importieren. Insgesamt drei Objekte müssen mit dem Parameter /g geladen werden.
Sie benötigen das Befehlszeilen-Tool LGPO.exe, um die Gruppenrichtlinienobjekte des BSI in Ihr Windows zu importieren. Insgesamt drei Objekte müssen mit dem Parameter /g geladen werden.

Starten Sie nun die Windows-Eingabeaufforderung über die Eingabe von cmd in das Windows-Suchfeld und wählen Sie „Als Administrator ausführen“. Wechseln Sie in den Ordner, in dem Sie das Programm LGPO.exe gespeichert haben. Nutzen Sie den Parameter /g und geben Sie den Pfad zum jeweiligen Ordner mit den BSI-Einstellungen an. Die Befehle sehen so aus: 

lgpo.exe /g „C:Normaler Schutzbedarf Einzelrechner (NE) – Computer“ lgpo.exe /g „C:Normaler Schutzbedarf (NE, ND) – Computer“ lgpo.exe /g „C:Protokollierung (NE, ND, HD) – Computer“ 

Ersetzen Sie „C:“ durch den Pfad in Ihrem System. Die Anführungszeichen für den kompletten Pfad sind nötig, da die Ordner Leerzeichen enthalten. Abschließend führen Sie einen Neustart durch. Nun sind die neuen, strengeren und sichereren Windows-Einstellungen aktiv.

Wichtig: Das BSI hat nicht alle seine Empfehlungen in die Gruppenrichtlinien gepackt, denn einige Einstellungen bedürfen einer individuellen Anpassung. Welche das sind, steht in der Anleitung des BSI. Doch auch, wenn Sie diese Punkte nicht umsetzen, haben Sie viel gewonnen.

Das erwartet Sie mit den neuen Gruppenrichtlinien

Sie merken die neuen Einstellungen sofort nach dem Neustart. Statt der üblichen Anmeldung, die die Namen der Windows-Benutzer bereits anzeigt, erscheint der Lockscreen von Windows und Sie müssen zunächst die Tastenkombination Strg-Alt-Entf drücken. Dann ist die Eingabe des Namens des Windows-Benutzers dran. Kennen Sie den auswendig? Auch für die anderen Windows-Konten? Falls nicht, klappt der Log-in nicht mehr. Natürlich ist auch die Eingabe des Passworts fällig.

Nach der Anmeldung dürfte auf den meisten Systemen dann wieder alles normal erscheinen. Einschränkungen fallen erst nach und nach bei der täglichen Nutzung des PCs auf. Die deaktivierte Unterstützung von UPnP und der blockierte Windows Store wurden bereits genannt. Weitere Einschränken treten etwa auf, wenn Sie eine Spracherkennung nutzen möchten oder die automatische Standorterkennung benötigen.

In der Summe sind sehr viele Komfortfunktionen ausgeschaltet. Möchte man eine davon wieder haben, bedarf es meist fortgeschrittener Windows-Kenntnisse, um das Problem zu beseitigen, also die richtige Gruppenrichtlinie zu ändern. Denn Windows gibt meist keine hilfreiche Fehlerbeschreibung aus, sondern zeigt an, dass man sich an seinen Administrator wenden soll. Das aber sind Sie selbst.

Einzelne Einschränkungen können Sie jedoch mit dem Gruppenrichtlinieneditor zurückdrehen. Diesen starten Sie über die Eingabe von gpedit.msc in das Windows-Suchfeld und die Wahl von „Öffnen“. Weitere Infos zu Gpedit finden Sie in diesem Beitrag .

Empfehlung: Nutzen Sie die BSI-Einstellungen mit Vorsicht

Wir empfehlen, die Gruppenrichtlinien zunächst an einem Testrechner auszuprobieren. Und zwar über einen längeren Zeitraum. Bedenken Sie zudem, dass Sie zwar einzelne Gruppenrichtlinien per Gpedit. msc ändern können, es aber keinen Schalter gibt, der alle Änderungen aus den Gruppenrichtlinien des BSI zurücknimmt. Möchten Sie sie wieder loswerden, müssen Sie ein System-Image zurückspielen oder zu dem zuvor erstellen Systemwiederherstellungspunkt zurückkehren.

Und auch das Ändern einer einzelnen Gruppenrichtlinie bedarf Fachwissen und oft detektivisches Gespür. Den sofortigen Einsatz auf Ihrem Produktivsystem können wir nicht empfehlen. Sollten Sie jedoch ein Zweitsystem nutzen, dass Sie etwa speziell fürs Onlinebanking und Shopping starten, kann sich das Laden der BSI-Gruppenrichtlinien lohnen.

Extra-Schutz: Die besten Sicherheitstools für Ihren PC

vgwort

Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.

Aktuelle Beiträge von Arne Arnold: