Sicherheit von Passwörtern (lang!)

Hallo Experten,

Vorgeschichte:

Kürzlich erlitt mein PC einen Virenbefall, den meine AV-Software nicht meldete, ich aber erkannte ihn an einem DOS-Fenster mit seltsamen Meldungen und einer neuen Datei auf dem Desktop. Es wurde nachweislich (aber zum Glück ohne großen Schaden) eine Benutzernamen-Passwort-Kombination aus dem Firefox-Browser geklaut.Dieser Vorfall hat mir gezeigt, wie angreifbar man ist. Seither mache ich mir Gedanken über die Sicherheit meiner Benutzernamen und Passwörter.

Maßnahmen:

Klar ist, dass ich das Speichern der wirklich wichtigen Passwörter im Browser, anderer Software oder sonstwo auf dem Rechner unterlasse und das nach Möglichkeit manuell eintrage. Klar ist auch, dass das Betriebssystem (Windows XP Prof. SP3) und das Antivirenprogramm (Avira Antivir) stets aktuell gehalten werden müssen (ist/war beides der Fall) und dass die Windows-Firewall aktiviert sein sollte (ist/war auch der Fall). Die Vorschau bei Emails ist/war ebenfalls deaktiviert, Spam und dergleichen werden ungelesen gelöscht. Außer umsichtigem Surfen und zuzusehen, dass die Daten möglichst via SSL übermittelt werden (https) kann ich durch eigenes Verhalten wahrscheinlich kaum mehr beitragen.

Da ich regelmäßig Backups mache, ist die Zerstörung von Daten und Programmen oder des Betriebssystems auch kein Problem, denn die allerwichtigsten Sachen sind redundant auf entfernbaren Medien gesichert. Viel wichtiger und empfindlicher sind für mich bestimmte Zugangsdaten (z.B. FTP-Zugänge oder Zugänge zu Online-Services wie Ebay etc.), die ich permanent brauche und die keinesfalls in dritte Hände gelangen sollten. Wenn nun also doch mal eine Malware die bestehenden Hürden überwindet, wie kürzlich, wie kann ich meine Zugangsdaten dann trotzdem schützen? Diese Frage stelle ich mit besonderer Hinsicht auf versteckte Keylogger und Clipboard-Sniffer.

Software-Lösungen?

Für den Zweifelsfall bzw. als zusätzliche Sicherheit wird Software angeboten, die Keylogger _angeblich_ blockiert. Der traue ich aber nicht, denn diese „Sicherheit“ könnte trügerisch sein (wie eigentlich bei jeder Anti-Malware-Software). Oder sind solche Anti-Keylogger doch wirksam? Welche könnt ihr ggf. empfehlen?

Es gibt auch Passwort-Manager, die die Daten verschlüsselt speichern und via Key-Datei oder Passwort oder einer Kombination aus beidem über das Clipboard einträgt. Der Steganos Passwort-Manager bietet auch an, als Passwort eine Auswahl von Bildern in einer bestimmten Reihenfolge anzuklicken („PicPass“). Der Keylogger wäre so quasi blind, wenn aber stattdessen eine andere Schadsoftware das Clipboard ausliest, sind die Daten genau so schnell geklaut. Einige Passwort-Manager-Hersteller geben an, das Clipboard werde sofort nach dem Eintrag gelöscht und Änderungen des Clipboards werden vor dem Betriebssystem verschleiert. Ist das wirksam? Den von Steganos (Steganos Privacy Suite) hätte ich hier in einer aktuellen Vollversion, allerdings bisher ungenutzt. Ist der okay? Welche könnt ihr ggf. noch empfehlen, wenn überhaupt?

Habt ihr außer der Aktualität des Systems und der AV-Software sowie Surfen mit Köpfchen noch weitere Tipps, mit denen meine leider immer wieder erforderlichen Passwörter sicherer sind? Da ich wirklich keine Ahnung habe, wie der Virus auf meinen Rechner gekommen ist, nicht ermitteln konnte wie er heißt und deshalb einen Angriff von außen nicht ausschließen kann: Gibt es erschwingliche Software-Firewalls, die evtl. wirksamer oder sicherer als die Windows-Firewall sind? Die wird ja eigentlich immer als ausreichend empfohlen.

Dann noch zu AntiVir: Viele empfehlen das AV-Programm von Avira und es wird auch immer wieder in diversen Vergleichstests als Testsieger gekürt. Leider hat es die Bedrohung von kürzlich nicht erkannt bzw. konnte seine Funktion möglicherweise blockiert werden. Würdet ihr es trotzdem weiter verwenden?

Kurzversion meiner Fragen:

Mit welchen möglichst einfachen Mitteln würdet ihr Fachmänner einen gewöhnlichen Windows-Heim-PC mit besonderer Hinsicht auf Passwörter und Zugangsdaten sichern und wie sollte man mit Zugangsdaten eurer Meinung nach umgehen, damit sie möglichst sicher sind? Gibt es nützliche Verhaltensregeln, die ich bis jetzt möglicherweise nicht beachtet habe?

LG und vielen Dank für die Geduld beim Durchlesen!
Huttatta

Hi,
wenn der PC einmal infiziert ist, wird es sehr schwer zu verhindern, dass der Angreifer deine Passwörter mitliest. Was bringt es dir, wenn die Passwörter irgendwo verschlüsselt liegen? Sobald du sie entschlüsselst um sie irgendwo eingeben zu können, sind sie für den Angreifer sofort verfügbar. So etwas sichert deine Passwörter nur so lange, wie du sie nicht benötigst.
Das einzige, was auch bei einem bereits infiziertem System helfen könnte, wäre HBCI mit Chipkarte und einem Kartenleser mit Display, der von der jeweiligen Anwendung auch genutzt wird. Denn dann befindet sich das Passwort im Klartext (im Idealfall) niemals auf dem Rechner. Außer beim Online Banking wird das aber leider nur relativ selten angeboten.
Von daher, guck dass die Kiste sauber bleibt.

Viele Grüße!

rantanplan

Hallo,

wirklich wichtige Zugänge werden nicht per Passwort freigeschaltet. „Two-Factor authentication“ ist hier angesagt. Z.b. Passwort + Token. Aber das ist privat nicht so einfach machbar.

Ganz bestimmt solltest Du aber auf ftp verzichten (alles im Klartext, inkl. Passworte). Meist kann man auf sftp/scp wechseln. Dabei sollte man dann keine Passworte, sondern Zertifikate nutzen.

Das Passwort zum freischalten der Zertifikate (und andere Passworte auch) speichert man auf einem USB Stick mit KeePass (http://keepass.info/). Den Stick zieht man ab, wenn man ihn nicht benutzt. Man kann ihn mitnehmen (und so z.B. unterwegs sonstwo nutzen) oder aber in die Schreibtischschublade legen…

Gruß

Fritze

Hallo,

Wenn nun also doch mal eine Malware die
bestehenden Hürden überwindet, wie kürzlich, wie kann ich
meine Zugangsdaten dann trotzdem schützen? Diese Frage stelle
ich mit besonderer Hinsicht auf versteckte Keylogger und
Clipboard-Sniffer.

In dem Zusammenhang ist ein Passwort-Manager wie der von Steganos aus meiner subjektiven Einschätzung sicher genug. Wenn man hingegen allgemein von einem „kompromittierten System“ spricht, muss man auch eine technisch hochentwickelte Kompromittierung in Betracht ziehen. So prinzipiell gesehen ist es schlicht unmöglich, auf eben demselben System irgendeine Form von Authentifizierungsmittel vor der Malware zu verbergen und vor Missbrauch zu schützen, sei es ein Token, ein Passwort-Management, eine Maus-, Tastatur- oder Virtual-Keyboard-Eingabe. Anders gesagt: Auf dem System, auf dem das sichernde Element betrieben werden kann, ist prinzipiell auch eine denkbare Lösung lauffähig, um diese Sicherung zu umgehen.
Schutz erzielt man dadurch, dass man die Kompromittierung möglichst effektiv vermeidet und die zeitnahe Erkennung eines eingetretenen Befalls sicherstellt.

Gibt
es erschwingliche Software-Firewalls, die evtl. wirksamer oder
sicherer als die Windows-Firewall sind? Die wird ja eigentlich
immer als ausreichend empfohlen.

Andere Produkte haben erweiterte Funktionen z.B. zur Auswertung oder gehen in Richtung Application Protection. Was den originären Zweck einer Desktop Firewall angeht, sehe ich da aber keine sicherheitsrelevanten Unterschiede.

Dann noch zu AntiVir: Viele empfehlen das AV-Programm von
Avira und es wird auch immer wieder in diversen
Vergleichstests als Testsieger gekürt. Leider hat es die
Bedrohung von kürzlich nicht erkannt bzw. konnte seine
Funktion möglicherweise blockiert werden. Würdet ihr es
trotzdem weiter verwenden?

Das kommt drauf an. Ist Avira die beste Antivirus-Software überhaupt? Sicherlich nicht. Reichen seine Fähigkeiten aus? Für die meisten schon, glaube ich. Die Kaufversion würde ich mir nicht zulegen.

Grüße
Richard

Hallo Huttatta

Kürzlich erlitt mein PC einen Virenbefall, den meine
AV-Software nicht meldete, ich aber erkannte ihn an einem
DOS-Fenster mit seltsamen Meldungen und einer neuen Datei auf
dem Desktop.

Damit hast Du selber erlebt, wie wenig zuverlässig Virenscanner sind.

Klar ist, dass ich das Speichern der wirklich wichtigen
Passwörter im Browser, anderer Software oder sonstwo auf dem
Rechner unterlasse und das nach Möglichkeit manuell eintrage.

Naja, Du sprichst ja später selber noch das Stichwort Keylogger an. Die Geister streiten sich darüber, ob das Speichern von Kennwörtern sicherer ist oder das manuelle Eingeben ohne Speichern…

Klar ist auch, dass das Betriebssystem (Windows XP Prof. SP3)
und das Antivirenprogramm (Avira Antivir) stets aktuell
gehalten werden müssen…

Nicht nur die. Auch Browser, E-Mailprogramm und andere Programme sind stets aktuell zu halten.

Ausserdem sinnvoll konfiguriert. Dazu gleich noch mehr…

…(ist/war beides der Fall) und dass die
Windows-Firewall aktiviert sein sollte (ist/war auch der
Fall).

Gute Idee. Die tut nicht wirklich weh, aber speziell wenn Du direkt am Internet hängst, ist das sinnvoll.

Die Vorschau bei Emails ist/war ebenfalls deaktiviert,

Nicht unbedingt nötig. Du musst Dein Mailprogramm lediglich so konfigurieren, dass rein gar nichts ohne Dein Zutun ausgeführt wird. Am zuverlässigsten klappt das, indem Du die Mails in Plaintext anzeigen lässt. Und allfällige Attachments sind prinzipiell und immer mit Vorsicht zu behandeln.

Spam und dergleichen werden ungelesen gelöscht. Außer
umsichtigem Surfen und zuzusehen, dass die Daten möglichst via
SSL übermittelt werden (https) kann ich durch eigenes
Verhalten wahrscheinlich kaum mehr beitragen.

Doch. Richte Dir ein Konto mit eingeschränkten Rechten ein und arbeite im Normalfall damit. Wenn Du Dir dann eine Malware einfängst, hat die es erheblich schwerer, wirklich Schaden anzurichten, da sie im Normalfall dann auch nur eingeschränkte Rechte hat und sich somit nicht in Systemverzeichnissen wie etwa ‚System32‘ einnisten kann.

Wenn nun also doch mal eine Malware die bestehenden Hürden überwindet,
wie kürzlich, wie kann ich meine Zugangsdaten dann trotzdem schützen?

Was auch helfen könnte: Installiere eine virtuelle Maschine (VirtualPC, VMWare…) und richte dort ein System ein, auf dem Du z.B. Sachen ausprobierst. Nur Sachen, die Du dort getestet, geprüft und für gut befunden hast, finden den Weg auf Dein ‚scharfes‘ System.

Für den Zweifelsfall bzw. als zusätzliche Sicherheit wird
Software angeboten, die Keylogger _angeblich_ blockiert. Der
traue ich aber nicht, denn diese „Sicherheit“ könnte
trügerisch sein (wie eigentlich bei jeder
Anti-Malware-Software). Oder sind solche Anti-Keylogger doch
wirksam? Welche könnt ihr ggf. empfehlen?

Dein Gedankengang ist völlig richtig. Deshalb gilt es dafür zu sorgen, dass es gar nie soweit kommt, dass Du so eine Software brauchen würdest.

Habt ihr außer der Aktualität des Systems und der AV-Software
sowie Surfen mit Köpfchen noch weitere Tipps, mit denen meine
leider immer wieder erforderlichen Passwörter sicherer sind?

Wie gesagt, auch die restliche Software ist stets aktuell zu halten. Auf AV-Software kann man sich nicht wirklich verlassen, daher auch mal eingehend nachdenken, ob Du wirklich so ein Programm brauchst.

Und Daten aus unbekannter bzw. unsicherer Quelle (wobei das Internet grundsätzlich als unsicher zu betrachten ist) mit Vorsicht behandeln. So ähnlich wie ich es im Militär im Umgang mit Schusswaffen gelernt habe: Wenn Dir jemand eine Schusswaffe gibt, musst Du immer als erstes eine Entladekontrolle durchführen, um herauszufinden, ob die Waffe geladen ist oder nicht. Mach das mit Daten aus dem Internet ebenso, prüfe sie zuerst auf verschiedene Arten (Dateinamen inkl. aller Suffixe, Hochladen auf Seiten wie http://virusscan.jotti.org/de/ und dort prüfen lassen, in gesicherter Umgebung (Virtuelle Maschine…) austesten…), bevor Du sie auf Dein System loslässt.

Gibt es erschwingliche Software-Firewalls, die evtl. wirksamer oder
sicherer als die Windows-Firewall sind?

Nein. Diese Software-Firewalls sind Unfug. Versprechen viel, halten wenig. Wiegen Dich eher in trügerischer Sicherheit. Für Sachen, die von aussen kommen, reicht die Windows-Firewall. Für Sachen, die von innen nach aussen wollen, gibt es prinzipbedingt keine zuverlässige Lösung ausser ‚nicht ausführen‘, denn jede Software-Firewall kann von jeder Software umgangen werden.

Dann noch zu AntiVir: Viele empfehlen das AV-Programm von
Avira und es wird auch immer wieder in diversen
Vergleichstests als Testsieger gekürt. Leider hat es die
Bedrohung von kürzlich nicht erkannt bzw. konnte seine
Funktion möglicherweise blockiert werden. Würdet ihr es
trotzdem weiter verwenden?

Alle AV-Programme haben das selbe Problem. Sie sind den Schädlingen prinzipbedingt mindestens einen Schritt hinterher. Sie können böse Sachen nicht wirklich zuverlässig erkennen. Wenn eine AV-Software nichts böses meldet, heisst das nicht, dass wirklich nichts böses da ist. Daher sind sie immer mit Vorsicht zu geniessen. Man kann auch durchaus auf das AV-Programm verzichten, denn es kann die erwähnten Massnahmen auch nur ergänzen, aber keinesfalls ersetzen.

Mit welchen möglichst einfachen Mitteln würdet ihr Fachmänner
einen gewöhnlichen Windows-Heim-PC mit besonderer Hinsicht auf
Passwörter und Zugangsdaten sichern und wie sollte man mit
Zugangsdaten eurer Meinung nach umgehen, damit sie möglichst
sicher sind? Gibt es nützliche Verhaltensregeln, die ich bis
jetzt möglicherweise nicht beachtet habe?

Vorsicht, sorgfältige Konfiguration, das System und alle Programme aktuell halten, Wissen aneignen (das habe ich noch gar nicht erwähnt…), Daten regelmässig sichern, mit eingeschränkten Rechten arbeiten, noch mehr Wissen aneignen…

CU
Peter

Naja, Du sprichst ja später selber noch das Stichwort
Keylogger an. Die Geister streiten sich darüber, ob das
Speichern von Kennwörtern sicherer ist oder das manuelle
Eingeben ohne Speichern…

Ich würde sagen, dass das praktisch egal ist. Irgendwann muss das Passwort mal in das dafür vorgesehene Formular z.B. im Browser eingetragen werden und da kann man es ohne größeren technischen Aufwand auch auslesen.

Hallo rantanplan,

Von daher, guck dass die Kiste sauber bleibt.

da werde ich wohl in Zukunft noch größere Vorsicht walten lassen und Tipps beachten, als das in der Vergangenheit auch so schon der Fall war. Jedenfalls weiß ich immer, wo mein Handtuch ist.

LG
Huttatta

Hallo Fritze,

Das Passwort zum freischalten der Zertifikate (und andere
Passworte auch) speichert man auf einem USB Stick mit KeePass
(http://keepass.info/).

das ist eine interessante Alternative. Werde ich mir mal ansehen.

LG
Huttatta

Hallo Richard,

Das kommt drauf an. Ist Avira die beste Antivirus-Software
überhaupt? Sicherlich nicht. Reichen seine Fähigkeiten aus?
Für die meisten schon, glaube ich. Die Kaufversion würde ich
mir nicht zulegen.

ich hatte die kostenlose Version am laufen. Die aktualisiert die Virendefinitionen sehr zeitnah - so heißt es. Nur gibt es da auch AV-Software, die ihren eigenen Wächter-Status überwacht, schützt und (gemäß Hersteller) nicht von Malware deaktiviert werden kann. Avira wirbt damit meines Wissens nicht. Ist das also bloß Augenwäscherei oder tatsächlich sinnvoll? Sollte das nicht sowieso jeder On-Access-Scanner/Wächter/Guard (und wie sie alle heißen) machen?

LG
Huttatta

Hallo Peter,

Die Geister streiten sich darüber, ob das
Speichern von Kennwörtern sicherer ist oder das manuelle
Eingeben ohne Speichern…

hmm.

Nicht nur die. Auch Browser, E-Mailprogramm und andere
Programme sind stets aktuell zu halten.

Firefox macht das ja automatisch. Mir graut nur jedesmal davor, wenn ich aus bestimmten Gründen den IE benutzen muss, oder wenn eine Software beim Aufruf der Online-Hilfe statt des Standardbrowsers den IE öffnet (Grrrrr!!!). Das mag ich überhaupt nicht, aber genau deshalb halte ich den IE mit den Windows-Updates auch aktuell.

Nicht unbedingt nötig. Du musst Dein Mailprogramm lediglich so
konfigurieren, dass rein gar nichts ohne Dein Zutun ausgeführt
wird.

Ich benutze Eudora 7. Außer den von mir eingerichteten Filtern (Verschieben in bestimmte Ordner und Löschen nach bestimmten Kriterien) passiert da auch nichts automatisch. Die Einstellungen sind auch bei Neuinstallationen wiederherstellbar, so dass man die vielen Optionen nicht jedesmal durchgehen muss. Meine AV-Programme haben bei späteren Scans öfter mal (zunächst unerkannte) Schadsoftware im Spam-Ordner erkannt, ohne dass es zur Infektion kam. Insofern denke ich, dass das Email-Programm gut eingerichtet ist, zumal ich da mit den (bei Neuinstallationen zum Glück wiederherstellbaren) Einstellungen gerade mit Hinsicht auf die Sicherheit schon viel Zeit verbracht habe.

Doch. Richte Dir ein Konto mit eingeschränkten Rechten ein und

DAS werde ich tun! Gut, dass du mich daran erinnerst. Ich habe ca. vor einem Monat das BS komplett neu aufgespielt und wahrscheinlich aus reiner Bequemlichkeit das eingeschränkte Konto nicht eingerichtet. Stimmt, absoluten Muss!

Was auch helfen könnte: Installiere eine virtuelle Maschine
(VirtualPC, VMWare…) und richte dort ein System ein

Auch gute Idee. Ich benutze für Backups seit Jahren Acronis TrueImage, die Version 11 Home beinhaltet „Try & Decide“. Das kommt aufs Gleiche raus, hab’s bloß noch nie benutzt, werde ich mir jetzt aber mal näher ansehen.

Man kann auch durchaus auf das
AV-Programm verzichten, denn es kann die erwähnten Massnahmen
auch nur ergänzen, aber keinesfalls ersetzen.

Theoretisch kann man laut Aussage des CCC auch auf die Firewall verzichten, wenn die richtigen Dienste ausgeschaltet sind. Von denen gibt es ein kleines Tool, das alle unnötigen Dienste deaktiviert. (http://www.dingens.org/) Das habe ich jetzt mal ausgeführt. Funktioniert prima, nur einen Dienst musste ich wieder reinholen.

[…] Wissen aneignen […] noch mehr Wissen aneignen…

Ja, das mit dem Wissen ist so eine Sache. Ich bin da zwar empfänglich und grundsätzlich bereit, mehr zu lesen, andererseits denke ich, dass man das nicht jedem Computerbenutzer - z.B. dem PC-Anfänger in fortgeschrittenen ALter, der höchstens hin und wieder mal die TV-Programmvorschau oder ein Web-2.0-Portal aufsucht und froh ist, wenn er Word öffnen kann - unbedingt abverlangen kann/muss, oder dass auch ein regelmäßiger und langjähriger PC-Benutzer zwangsläufig zum IT-Fachmann mutieren muss. Sonst hättet ihr ja nichts mehr zu tun.

LG
Huttatta

Hallo Huttatta

Nicht nur die. Auch Browser, E-Mailprogramm und andere
Programme sind stets aktuell zu halten.

Firefox macht das ja automatisch.

Auch andere Programme bieten sowas. Da muss man halt damit leben, dass die dann ‚nach Hause telefonieren‘, um nach Updates Ausschau zu halten. Oder aber man macht das manuell.

Man kann auch durchaus auf das
AV-Programm verzichten, denn es kann die erwähnten Massnahmen
auch nur ergänzen, aber keinesfalls ersetzen.

Theoretisch kann man laut Aussage des CCC auch auf die
Firewall verzichten, wenn die richtigen Dienste ausgeschaltet
sind.

Richtig. Aber die Windows-eigene Firewall kann man trotzdem ergänzend einschalten. Damit kann man z.B. vermeiden, dass ein Dienst aufgrund etwa eines MS-Updates unversehens wieder aktiv ist und dann nach aussen lauscht.

[…] Wissen aneignen […] noch mehr Wissen aneignen…

Ja, das mit dem Wissen ist so eine Sache. Ich bin da zwar
empfänglich und grundsätzlich bereit, mehr zu lesen,
andererseits denke ich, dass man das nicht jedem
Computerbenutzer - z.B. dem PC-Anfänger in fortgeschrittenen
ALter, der höchstens hin und wieder mal die
TV-Programmvorschau oder ein Web-2.0-Portal aufsucht und froh
ist, wenn er Word öffnen kann - unbedingt abverlangen
kann/muss, oder dass auch ein regelmäßiger und langjähriger
PC-Benutzer zwangsläufig zum IT-Fachmann mutieren muss. Sonst
hättet ihr ja nichts mehr zu tun.

Das ist so wie beim Auto. Ich besitze ein Auto, will aber nicht selber dran rumschrauben. Also lasse ich Wartung, Reparaturen etc. von einem Fachmann durchführen. Diese User, die Du hier beschreibst, sollten auch einen Fachmann beauftragen, ihren Rechner vernünftig zu konfigurieren und zu pflegen, damit sie selber einfach damit fahren… äh arbeiten können.

CU
Peter

Sicherheit von **Benutzern**
Hallo Huttatta

Seither mache ich mir Gedanken über die
Sicherheit meiner Benutzernamen und Passwörter.

Da liegt der ganze Knackpunkt!

Ein Keylogger (nur als Beispiel) muss sich in die Auswerte-Routinen des Betriebssystems einklinken. Sprich: Es muss Zugriff auf den Kernel haben. Und die hat nur ein Admin.

Du brauchst nur eine einzige, aber absolut wichtige Vorsichtsmaßnahme: einen Benutzer mit minimalsten Rechten. Dann kann sich kein Virus, Wurm, Trojaner oder Rootkit in dein System oder deine Programme einklinken, und du bist safe - auch ohne Virenscanner oder PFW.

Klappt bei mir schon seit Jahren ohne Probleme, obwohl ich alle möglichen Passwörter vom Browser abspeichern lasse.

lg, mabuse

Ein Keylogger (nur als Beispiel) muss sich in die
Auswerte-Routinen des Betriebssystems einklinken. Sprich: Es
muss Zugriff auf den Kernel haben. Und die hat nur ein Admin.

Muss er nicht. Um z.B. nur Prozesse des eigenen Benutzers zu überwachen, braucht er keine Admin-Rechte. Er kann durch Hooks oder DLL Injections in eigene Prozesse eingreifen.
Auch kannst du z.B. mit APIs wie GetAsyncKeyState() ohne Admin-Rechte abfragen, wie der Zustand einer Taste ist (gedrückt/nicht gedrückt). So kannst du auch ohne Admin-Rechte Tastatureingaben mitlesen.

Du brauchst nur eine einzige, aber absolut wichtige
Vorsichtsmaßnahme: einen Benutzer mit minimalsten Rechten.
Dann kann sich kein Virus, Wurm, Trojaner oder Rootkit in dein
System oder deine Programme einklinken, und du bist safe -
auch ohne Virenscanner oder PFW.

In deine Programme kann er sich sehr wohl einklinken, auch wenn du keine Admin-Rechte hast. „Safe“ bist du daher auch mit einem unprivilegierten Nutzeraccount nicht. Aber es ist für die Schadsoftware wesentlich schwieriger sich tief ins System einzunisten und das Schadprogramm fällt wesentlich leichter auf.

Deshalb ist es extrem sinnvoll, nicht als Admin zu arbeiten oder zu surfen, weil da jedes ausgeführte Schadprogramm oder jede Sicherheitslücke in einem Anwendungsprogramm einem Angreifer sofort die volle Kontrolle über das System ermöglichen.

ich hatte die kostenlose Version am laufen. Die aktualisiert
die Virendefinitionen sehr zeitnah - so heißt es. Nur gibt es
da auch AV-Software, die ihren eigenen Wächter-Status
überwacht, schützt und (gemäß Hersteller) nicht von Malware
deaktiviert werden kann.

Der Scanner von Avira ist gegenüber Konkurrenzprodukten relativ leicht zu sabotieren. Malware, die sich mit dem Ausschalten des Scanners befasst, ist jedoch eher die Ausnahme und in jedem Fall sehr gut entwickelt, schon weil sie auf eine Vielzahl von möglichen Produkten abgestimmt sein muss und hohe Rechte auf dem Zielsystem erwerben muss. Man kann also nicht sagen, dass einzelne AV-Lösungen dagegen immun wären, und so stellt es sich auch praktisch dar, wenn man die jeweiligen Vorgängerversionen betrachtet - keine ist ungeknackt. Dass die aktuellen Versionen damit beworben werden, spricht für ihren aktuellen Sicherheitsstandard, heißt aber für neue Malware so gut wie nichts.