Windows 10: Zusatzschutz für unterwegs

Zusatzschutz für Windows 10 auf Reisen

Praxis & Tipps | Tipps & Tricks

Unterwegs ist das eigene Notebook einigen Gefahren ausgesetzt: von neugierigen Blicken über Risiken öffentlicher Netze bis zum Datenverlust. Wir zeigen, wie Sie dagegen vorbeugen.

Wer mit seinem Windows-Notebook oder -Tablet unterwegs ist, sollte zusätzliche Schutzmaßnahmen treffen – egal ob es an den Strand, in die USA oder nur in den nächstgelegenen Konferenzraum geht. Mit Windows-Bordmitteln und wenigen Handgriffen bereiten Sie Ihr Gerät optimal darauf vor: Stellen Sie sicher, dass ein Zuschauer beim Anmelden an Windows Ihr Passwort nicht mitlesen kann, reduzieren Sie den Netzwerkverkehr aufs Nötigste, schützen Sie sich vor Datenverlust und schalten Sie die Ortungsfunktion scharf. Wir geben Tipps, wie Sie das bewerkstelligen können.

Leider gelten die hier genannten Tipps nur für Windows 10, weil Windows 7 die nötigen Bordmittel fehlen. Wir möchten daher anregen, über einen derzeit noch kostenlos möglichen Umstieg von Windows 7 auf Windows 10 nachzudenken (Tipps für den Umstieg).

In öffentlichen Verkehrsmitteln und in Tagungsräumen ist man selten allein, wenn man sein Notebook oder Tablet nutzt. Die Wahrscheinlichkeit, dass der Sitznachbar das Windows-Anmeldekennwort bei der Eingabe mitbekommt, ist dementsprechend hoch. Am besten nutzen Sie in solchen Situationen eine der alternativen Anmeldemethoden von Windows 10.

Unterwegs ist Windows Hello das Mittel der Wahl, also das Einloggen mit Gesicht oder Fingerabdruck. Für die Gesichtserkennung benötigen Sie eine spezielle Webcam, die entweder einen 3D-Scan Ihres Gesichts oder zumindest ein Infrarotbild erstellen kann. Einige Notebooks und Tablets wie Microsofts Surface-Reihe sind bereits damit ausgestattet. Nachrüstbare USB-Kameras sind unterwegs keine komfortable Lösung, da Sie diese für jede Anmeldung ans Notebook oder Tablet klemmen müssten. Auch mobile Rechner mit kompatiblen Fingerabdruckscannern gibt es inzwischen von diversen Herstellern. Eine ähnlich komfortable Alternative sind USB-Fingerabdruckleser, die nur wenige Millemeter aus dem USB-Anschluss herausragen. Sie können während der gesamten Reise im Notebook stecken bleiben.

Infrarot-Selfie: Mit Windows Hello entsperrt man unterwegs den Rechner, ohne dem Sitznachbarn das Passwort zu verraten.

Die Einrichtung von Windows Hello erledigen Sie in den Einstellungen unter „Konten/Anmeldeoptionen“. Beim Einsatz einer Hello-Kamera sollten Sie dort die Option „Sperrbildschirm bei Gesichtserkennung automatisch schließen“ abschalten, da es sonst passieren kann, dass Windows das aufgeklappte Notebook automatisch freigibt, sobald es Sie wiedererkennt. Passiert das im falschen Moment, kann der Sitznachbar womöglich einen Blick auf vertrauliche Daten erhaschen. Seien Sie sich darüber bewusst, dass die biometrische Authentifizierung ähnlich wie bei Smartphones keine 100-prozentige Sicherheit garantieren kann: Forscher demonstrieren immer wieder, dass man Fingerabdruckscanner, Infrarotkameras & Co. mit einigem Aufwand austricksen kann. Diesen Aufwand wird Ihr Sitznachbar allerdings wohl eher nicht betreiben.

Die Eingabe der vor dem Windows-Start abgefragten Bitlocker-Passphrase kann Ihnen Windows Hello nicht abnehmen. Abhilfe schafft ein kleines, USB-Stick-förmiges Gerät namens YubiKey von der Firma Yubico (www.yubico.com). Das meldet sich als USB-Tastatur am System an und schickt die Passphrase auf Knopfdruck als Tastatureingabe an den Rechner. Die Geräte gibt es in verschiedenen Größen. Die kleinste Ausführung, der YubiKey Nano, ist ungefähr so groß wie ein Fingernagel. Den YubiKey müssen Sie sicher verwahren, etwa in der Geldbörse oder am Schlüsselbund. Verlassen Sie sich jedoch nicht zu sehr darauf: Für den Fall, dass Sie ihn verlieren, müssen Sie Ihre Passphrase weiterhin auswendig beherrschen oder ausgedruckt im Tresor liegen haben.

Nutzt man mit Windows eine Mobilfunkverbindung oder ein anderes Netzwerk mit Volumenbegrenzung, sollte man die Option „Getaktete Verbindung“ aktivieren.

Zwar mögen WLAN-Hotspots unterwegs attraktiv erscheinen, doch sicherer ist eine Mobilfunkverbindung. Damit Sie nicht in eine Kostenfalle tappen oder das Inklusivvolumen schneller als nötig ausschöpfen, sollten Sie Windows mitteilen, dass es sich um eine mobile Datenverbindung handelt; in Microsoft-Sprache eine „Getaktete Verbindung“. Das sollten Sie auch einstellen, wenn Sie mit Windows über den mobilen Hotspot Ihres Smartphones surfen. Der Datensparmodus bewirkt, dass Windows nur noch Updates herunterlädt, die Microsoft für besonders wichtig hält. Darüber hinaus stoppt Windows unter anderem das Synchronisieren von Offline-Dateien sowie das Aktualisieren der Live-Kacheln. Apps können den Verbindungsmodus abfragen und ihren Datenhunger ebenfalls reduzieren.

Um öffentliche WLAN-Hotspots sollten Sie möglichst einen Bogen machen, da hier niemand für die Sicherheit Ihrer Daten garantieren kann. Wenn Sie doch mal auf ein öffentliches WLAN angewiesen sind, sollten Sie Ihren Datenverkehr wann immer es geht verschlüsseln. Am besten nutzen Sie dafür einen der zahlreichen VPN-Anbieter. Wer daheim eine Fritzbox im Einsatz hat, kann sie als VPN-Server nutzen und sich das Geld für einen VPN-Dienst sparen. Falls Sie keinen VPN-Zugang vorbereitet haben, sollten Sie Websites stets über HTTPS aufrufen und auf verschlüsselte Verbindungen zu Mailservern & Co. achten. Ein Mitlauscher erfährt so zwar, dass Sie etwa heise.de aufrufen, nicht aber, welche Inhalte Sie abrufen.

Kleines Fenster, große Wirkung: Windows fragt beim ersten Verbindungsaufbau etwas umständlich, ob es seine Firewall scharfschalten soll. Ein „Nein“ schaltet sie ein.

In öffentlichen Netzen ist außerdem eine Firewall unerlässlich, die Zugriffs- und Angriffsversuche anderer Nutzer auf die lokalen Dienste Ihres Windows-Systems blockiert. Denn in den meisten Hotspot-Netzen kann grundsätzlich jeder mit jedem sprechen. Die gute Nachricht ist, dass die bordeigene Firewall von Windows diese Art von Total-Blockade beherrscht. Sie müssen dem Betriebssystem lediglich mitteilen, dass Sie in einem unsicheren Netz unterwegs sind, indem Sie das Netz als „Öffentlich“ markieren.

Windows fragt Sie beim ersten Verbindungsaufbau etwas verschwurbelt „Möchten Sie zulassen, dass Ihr PC von anderen PCs und Geräten in diesem Netzwerk gefunden werden kann?“. Mit „Nein“ stufen Sie das Netz als öffentlich ein und aktivieren die entsprechenden Firewall-Regeln. Anschließend erlaubt Windows nur noch jene Zugriffe auf die lokalen Dienste, für die ausdrücklich Ausnahmen definiert wurden. Überprüfen und nachträglich ändern können Sie die Einstellung, indem Sie auf das WLAN-Symbol in der Taskleiste und „Eigenschaften“ klicken. Sie finden die Option ganz oben unter „Netzwerkprofil“.

Sich unterwegs vor Datenverlust durch Fehlbedienungen, Schädlinge und so weiter zu schützen ist eine besondere Herausforderung. Die naheliegendsten Backup-Lösungen sind USB-Sticks oder je nach Platzbedarf auch externe Laufwerke, die man tagsüber im Hotel-Tresor lässt und nur abends für das tägliche Backup herausholt. Es geht aber auch ohne das zusätzliche Mitnehmen von USB-Laufwerken, denn das Smartphone ist ohnehin immer dabei und kann üblicherweise als Ersatz dienen. Bei Android muss man dafür nach dem Anschließen von oben ins Display wischen und jene Meldung antippen, unter der „Weitere USB-Optionen“ steht. Wählen Sie „Dateien übertragen“ aus, danach taucht es im Explorer des Notebooks auf und kann wie ein USB-Stick mit Backups befüllt werden. Mit iPhones gelingt der Datenaustausch auf die Schnelle nur via iTunes.

Wer der Cloud traut, kann die bordeigene Cloud-Synchronisation OneDrive benutzen, um seine Daten automatisch online zu sichern. Microsoft stellt dazu jedem Nutzerkonto fünf GByte Speicher zur Verfügung. Aktivieren müssen Sie nichts. OneDrive finden Sie im Explorer in der linken Baumansicht unterhalb der Schnellzugriffe. Sie können den Ordner wie ein normales Verzeichnis nutzen. Alles, was Sie hier speichern, synchronisiert Windows automatisch mit Microsofts Cloud-Servern. Anschließend landet es auch auf allen anderen Rechnern, auf denen Sie sich mit dem gleichen Microsoft-Konto anmelden, sobald die PCs das nächste Mal laufen.

Wenn Ihnen diese Vorschläge zu nachlässig sind, weil es um wirklich wichtige Daten geht, kommen Sie mit Bordmitteln nicht mehr weiter. Dann sollten Sie darüber nachdenken, die Daten verschlüsselt auf ein heimisches NAS oder einen Server in der Firma zu synchronisieren, auf dem wiederum regelmäßige Backups der synchronisierten Daten gezogen werden. Verschlüsseln können Sie beispielsweise mit Cryptomator, c’t-Artikel erklären den Umgangmit der Open-Source-Software und das Synchronisieren direkt von PC zu PC mit Resilio Sync . Geschäftsreisende sollten zudem mit dem daheim gebliebenen Admin aushandeln, wie sie im Ernstfall an aus dem Backup restaurierte Daten gelangen. Wenn unterwegs ein funktionierendes Notebook unerlässlich ist, sollten Sie darüber nachdenken, eine USB-Platte mit einem Abbild Ihrer komplett durchkonfigurierten Windows-Installation mitzunehmen, um im Falle eines Totalschadens oder Verlustes des Gerät dieses Image auf einem anderen, auf die Schnelle im Laden gekauften Notebooks wiederherstellen zu können. So ein auf quasi beliebiger Hardware wiederherstellbares Abbild können Sie mit unserem Sicherungsskript c’t-WIMage erzeugen.

Ähnlich wie Smartphone-Betriebssysteme hat auch Windows eine Funktion an Bord, um ein verschwundenes Gerät wieder aufzuspüren: „Mein Gerät suchen“. Sie finden sie in den Einstellungen unter „Updates und Sicherheit“. Voraussetzung ist, dass Sie sich mit einem Microsoft-Konto mit Administratorrechten an Windows anmelden.

Windows kann an Microsoft melden, wo das Gerät zum letzten Mal online war. Das erfordert allerdings ein Microsoft-Konto.

Der Haken an der Sache: Damit Windows seinen Standort an Microsoft melden kann, muss es online sein. Falls ein Dieb also die WLAN-Verbindung kappt oder gar ein neues Betriebssystem aufspielt, können Sie das Notebook nicht mehr orten. Falls Sie wie oben empfohlen das komplette Laufwerk verschlüsselt haben, wird die Ortung noch nutzloser, denn dann kann sich der Dieb ja ohnehin nicht am Notebook anmelden und Windows folglich auch nicht den Standort petzen. Letztlich ist „Mein Gerät suchen“ also allenfalls in Situationen hilfreich, in denen man sein Notebook irgendwo vergessen hat und man nicht mehr weiß, wo. (axv)

Kommentare

Kommentare lesen (36 Beiträge)

Anzeige