Sicheres PC System aufbauen

[schneckischneck]

hallo zusammen

sehr generelle frage:

ich möchte einen PC nur für die verwendung von finanzprogrammen aufbauen (zb für brokersoftware, buchhaltung- und steuerprogramme, zugang zu börsen- bzw kryptobörsen über browser, verwendung von hardware-ledgern usw usw).
(vorliegende hardware für den pc: 2100k prozessor, 8gb ram, msi board 1155er, 80gb festplatte, ...)


dieser sollte so sicher wie möglich sein vor viren/spam/hackern/trojanern/fremdzugriffen, usw usw

mir ist bewusst, dass es sowieso keine 100%ige sicherheit gibt. auch gehts bei mir nur um kleine werte. trotzdem möchte ich das bestmöglich hinbekommen, bei gleichzeitig akzeptabler anwenderfreundlichkeit.

könnt ihr mir eventuell mal aufführen, was ihr in diesem zusammenhang für sinnvoll halten würdet?

angefangen von der wahl des betriebssystems bis zur wahl des browsers, der notwendigkeit von virenschutzprogrammen etc sowie etwaiger sonstiger zusatzsoftware.

auch tipps bezüglich user-verhalten wären top, da das grösste sicherheitsproblem vermutlich vor dem monitor sitzen wird...

würde mich über jegliche vorschläge freuen, danke vorab

 

[coasterblog]

Laufen deine Anwendungen unter Linux? Bei deiner Hardware scheidet Win 11 eh aus.

 

[Skudrinka]

Vielleicht Qubes OS?

 

[andy_0]

Naja relativ die üblichen Ratschläge:

• auf Windows verzichten, da es zu stark verbreitet ist
• Linux nutzen, Qubes OS wäre relativ vorteilhaft (optional)
• Hauptnutzer darf kein Admin sein (Root unter Linux)
• Passwort Manager nutzen (wichtig)
• Sichere Passwörter mit Passwort Manager erzeugen
• Crypto Wallet mit Hardware absichern (optional)
• 2FA nutzen wo möglich (wichtig)
• 2FA nicht in Passwort Manager hinterlegen
• Login auf System via Hardware 2FA (optional)
• Keine "Experimente" mit diesem System wie z.B. wie wild Drittsoftware installieren (wichtig)
• Browser kannst du nehmen was du willst
• Nur Software über das integrierte OS Repository installieren (wichtig)
• OS vollverschlüsseln (Linux: LUKS nutzen)

Das sind, wenn man es Mal eingeführt hat, alles keine großen Einschränkungen, die man regelmäßig ausführen kann. Das ist wichtig, da massive Belastung auf Dauer von Nutzern nicht akzeptiert werden.

Mit sicheren OS, sicheren Passwörten und 2FA hackt dich quasi nur die NSA. Mehr Sicherheit braucht man nicht, diesen Level zu erreichen ist aber relativ einfach.

 

[Dr. McCoy]

(vorliegende hardware für den pc: 2100k prozessor, 8gb ram, msi board 1155er, 80gb festplatte, ...)

Da fängt's schon an. Ältere Hardware kann bereits an sich eine höhere Sicherheits-Anfälligkeit mit sich bringen, vor allem, wenn diesbezüglich eben keine Sicherheitslücken mehr geschlossen werden (keine Aktualisierungen via BIOS/UEFI (z.B. Firmware -> Microcode)). Dann hängt alles vom in aktuellen Betriebssystemen implementierten Schutz ab.

Wichtig ist auch der Router, an dem das Ganze hängt. Beispiel: Du hast zwei PCs an einem Router hängen. Einen weniger sicher konfigurierten A), und einen zweiten B), der etwas konzentrierter abgesichert wird, wie Du es hier vor hast.

Dann kann über eine auf dem System A) erfolgte Kompromittierung 1.) der Router umkonfiguriert werden, falls dieser Sicherheitslücken aufweist und/oder nicht mit sicherem Passwort zum Zugriff auf die Konfigurationsoberfläche abgesichert ist. Und 2.) kann, wenn der Router z.B. mit alter Firmware und/oder unsicherer Konfiguration läuft (z.B. Fernwartung standardmäßig dauerhaft eingeschaltet) eine Kompromittierung dessen direkt über den Betrieb am Internet erfolgt sein.

Beides würde auch nachteilig Deinen Computer B) betreffen, da die Datenübertragung von und ins Web auch über den gleichen (angenommener Weise kompromittierten) Router läuft.

Was ich Dir damit grundsätzlich mit auf den Weg geben möchte: Mit der sicheren Einrichtung des Betriebssystems auf Deinem PC alleine ist es nicht getan.

 

[schneckischneck]

danke euch allen für die antworten, da gibts einiges zu bedenken für mich nach euren hinweisen...

Laufen deine Anwendungen unter Linux? Bei deiner Hardware scheidet Win 11 eh aus.

bevor ich da von vornherein was unsinniges aufbaue würde ich evtl in komplett neue hardware installieren. evtl sogar macintosh, falls das von vornherein bessere voraussetzungen bietet?

Vielleicht Qubes OS?

leider noch nie gehört und grad erstmalig angesehen....puuh...wirkt auf mich sehr anspruchsvoll, aber ich versuch mich mal reinzuknien. ist das sowas wie eine virtual machine? (ich kenn nur das schlagwort, kann leider noch nicht viel anfangen damit)

• Hauptnutzer darf kein Admin sein (Root unter Linux)
• Passwort Manager nutzen (wichtig)
• Sichere Passwörter mit Passwort Manager erzeugen
• Login auf System via Hardware 2FA (optional)
• Nur Software über das integrierte OS Repository installieren (wichtig)
• OS vollverschlüsseln (Linux: LUKS nutzen

könntest du evtl auf diese punkte nur mal grob eingehen und mir den weg weisen, wo ich mich diesbezüglich einlesen kann? sagt mir leider noch alles recht wenig.

windows war nur meine wahl da ich annahm, linux kann nichts mit den hardware-ledgern anfagen (bitbox oder ledger). was ich aber lese scheint das doch zu gehen?!

du hast "passwort manager" erwähnt. macht so ein programm was anderes wie wenn man sich selber ein kompliziertes/schwieriges passwort überlegt?

Da fängt's schon an. Ältere Hardware kann bereits an sich eine höhere Sicherheits-Anfälligkeit mit sich bringen, vor allem, wenn diesbezüglich eben keine Sicherheitslücken mehr geschlossen werden (keine Aktualisierungen via BIOS/UEFI (z.B. Firmware -> Microcode)). Dann hängt alles vom in aktuellen Betriebssystemen implementierten Schutz ab.

Wichtig ist auch der Router, an dem das Ganze hängt. Beispiel: Du hast zwei PCs an einem Router hängen. Einen weniger sicher konfigurierten A), und einen zweiten B), der etwas konzentrierter abgesichert wird, wie Du es hier vor hast.

auf den router kann ich vermutlich keinen einfluss nehmen, dieser wurde vom internetanbieter gestellt. es schwirren auch noch handys, tablets und laptops im selben haushalt herum. von dem her wird mir wohl nichts anderes über bleiben als eben den "security-pc" so sicher wie möglich zu machen..

 

[coasterblog]

Linux kannst du auch ohne Installieren testen. Die meisten Distros funktionieren auch als Live System vom Stick. Mint oder Zorin OS mal so grob in den Raum geworfen.

Aber eine SSD bitte in den Rechner packen.

 

[andy_0]

Hardware Ledger Kompatibilität:
Ein Hardware Ledger wird in der Regel via USB an den Computer angeschlossen. Alles was via USB an den Computer angeschlossen wird, kann prinzipiell auch auf Linux funktionieren. Ich sehe da pauschal kein Problem.

Password Manager (z.B. BItwarden):
Die Idee ist, dass du JEDEN Account (OS, Mail, Mail 2, ... ) mit einem jeweils sehr komplizierten Passwort austattest. Ich rede da von Passwörtern wie: iVjrCF3T9jCPyBXmMRfqwVEawcVRLkTWaHDi7xzBz4GtLFiM5H
Kein Mensch merkt sich sowas, schon gar nicht für 50 Accounts jeweils ein eigenes. Also erzeugst du sie, speicherst sie ab und sicherst nur den Zugriff auf diese Speichern (-> Passwort Manager) mit einem sicheren Passwort, was du dir auch merken kannst. z.B.: Stoke-Slam-Talisman3-Vastness-Runny

Wird ein Account doch mal erraten (was bei den Passwortlängen oben quasi unmöglich ist), ist das nicht sooo schlimm, da du für jeden Account ein anderes Passwort hast.

Macintosh:
Das ist natürlich eine Möglichkeit. Rein von Hardware ist das aber nicht besser oder schlechter als ein 0815 Windows/Linux Computer. Vorteil wäre, es ist tendenziell leichter zu bedienen.

Qubes OS und Virtual Machines:
Ja, das kommt da zum Einsatz. Jede Anwendung hat eine eigene VM. Das Hauptsystem macht das für dich. Ist aber, wie gesagt, eher der Overkill. Ich würde dir ein 0815 Linux empfehlen. Linux Mint wurde da z.B. schon in den Raum geworfen.

Linux OS:
Lad dir z.B. Linux Mint und kopiere es auf den USB Stick (https://www.heise.de/download/product/linuxlive-usb-creator-90060). Dann kannst du es testen.

Windows:
Windows ist per se kein Problem. Es hat vor allem zwei Nachteile:
1. Jeder nutzt es, deswegen ist es ein beliebtes Angriffsziel. Das ist schlecht. Sei kein beliebtes Angriffsziel und schon funktioniert 95% der möglichen Software Angriffe nicht auf dich.
2. Windows verführt den Nutzer zu schlechtem Verhalten (-> Accounts ohne Passwörter, Hauptaccount als vollwertiger Admin, etc. pp). Das hat historische Gründe. Ebenfalls aus historischen Gründen ist es unter Linux etwas anders.

2FA (2 Factor Authentication):
Man nutzt irgendeine Hardware (am Handy, als USB Stick ...) um sicherzustellen, dass du Zugriff auf Wissen (Passwort) und Hardware (Handy, USB Stick) hast. Diese USB Sticks muss man darüber hinaus physikalisch betätigen, sodass Presence (vor Ort am PC) nachgewiesen ist.
Unterm Strich ist es so: dein Passwort kann noch so schlecht (oder gut sein) sein. Wenn der Angreifer es kennt, hast du ein Problem. Mit 2FA muss er das Passwort kennen und darüber hinaus dein Dongle/Handy haben.

OS Verschlüsselung:
Geht unter Windows, Linux und vermutlich Macintosh einfach. Man muss es "nur" konfigurieren. Dann musst du, je nach OS und Konfiguration, beim Start ein Kennwort eingeben. Das sichert dich davor, dass jemand einfach Daten auf dein OS installiert, während du nicht da bist. So einfach.

 

[schneckischneck]

wow...DANKE VIELMALS für die hilfe, tipps, links etc..!👍 👍 👍

 

[Dr. McCoy]

würde ich evtl in komplett neue hardware installieren.

Das wollte ich mit meinen Hinweisen nicht zwangsläufig gesagt haben. Nur leitet sich daraus dann halt einiges andere ab. Ich erläutere es gern später noch ausführlicher. Also jetzt bitte nicht gleich irgendwas Neues kaufen!

 

[mastaqz]

Bevor du dich an Qubes OS wagst, solltest du dir auch bewusst machen, dass du hier nur nach Software fragst.

Über deine Hardware solltest du dir auch Gedanken machen. Joanna Rutkowska, die Gründerin von Qubes OS, hat ein Paper über die x86-Architektur verfasst, sehr lesenswert: https://blog.invisiblethings.org/2015/10/27/x86_harmful.html

Für das Verständnis von Qubes OS solltest du dir die Architektur anschauen: https://www.qubes-os.org/doc/#system

Die Admininstration eines Qubes OS-System ist anspruchsvoll und zeitaufwändig. Du solltest Grundkenntnisse im Administrieren eines Linux-Systems mitbringen, am besten Fedora, da es in der aktuellen Qubes OS Version 4.0.4 die Distribution für die Haupt-VM dom0 ist. (In 4.1 kann man auch Debian nutzen.)

Ebenfalls solltest du wissen, wie du Hilfe findest, denn die Qubes OS-Community ist klein (rund 40.000 Nutzer: https://www.qubes-os.org/statistics/).

---

Da der menschliche Faktor nicht zu unterschätzen ist, würde ich dir davon abraten, Qubes OS zu nutzen, wenn du keine Linux-Erfahrung hast. Die Wahrscheinlichkeit, dass du entnervt aufgibst, halte ich für zu hoch, da einige Sachen umgelernt werden müssen, bspw. Copy & Paste, Daten kopieren etc. Außerdem ist das System eher langsam, da du wenn möglich viele, kleine (wegwerfbare) VMs hast, die dann natürlich immer neu starten müssen.

Ich würde mir ein separates, altes Thinkpad kaufen, bspw. X230, darauf ein schmales Linux und nur dieses Gerät für deine Anwendungsfälle nutzen. Dann natürlich alle Standards wie Full-Disk-Encryption, 2FA, Password Manager etc. umsetzen. Nur die nötigste Software rauf und wirklich nur dafür nutzen. Internetverbindung nur im äußersten Notfall nutzen und dann deaktivieren. Nach Nutzung dann wegschließen.

 

[BeBur]

könnt ihr mir eventuell mal aufführen, was ihr in diesem zusammenhang für sinnvoll halten würdet?

Jedenfalls nicht QubeOS, das ist quatsch. Windows vs. Linux ist auch egal. Browser ist egal. Du denkst an die ganz falschen Ecken. Viren bekommst du nicht, weil der Nachbar im Wifi niest. Das einzige was bei der Software wichtig ist: Du musst immer alle Updates installieren.
Du solltest dir Gedanken machen, gegen welche Szenarien du dich konkret schützen willst:

• Einbrecher stiehlt deinen PC
• Einbrecher steckt einen Hardware-Keylogger an deinen PC
• Jemand erhält Zugang zu deinem Netzwerk

solche Sachen.

Und wovor du dich eigentlisch schützen willst:

• Jemand erhält Einsicht in deine Steuerdaten
• ... ?

Am Ende willst du doch einfach nur, dass dir kein Geld geklaut wird, nehme ich an?
Hardware-Ledger für den Krypto-Kram ist sinnvoll. 2FA machen Banken seit 20 Jahren schon, d.h. niemand kann dir was klauen, selbst wenn der schlimmste Trojaner auf deinem Rechner installiert wurde. Außer du hilfst mit und missachtest obligatorische organisatorische Maßnahmen (Hinweise ignorieren, etc.).

Aber ganz ehrlich, abgesehen von Krypto kommt niemand so schnell an dein Geld, dafür haben Gesetzgeber und Banken gesorgt. Sonst würden weltweit überall Viren herumfliegen, die dir die Kohle vom Konto abbuchen.

Nimm einen Hardware-Ledger, lies dich ein in best practices zu Sicherheit: Software Updates, Passwort-Manager, ... dann lies dich ein ins Thema Backups: 3-2-1 Regel, Sync und Raid sind kein Backup, ...
Dann lies dich ein in die gängigen Phishing-Angriffe: Per SMS, per Telefon, ....
Das sind die Dinge an denen es Mangelt und wegen denen Menschen wirklich Kohle verlieren. Nicht weil sie Windows/Linux/Mac verwendet haben.

 

[schneckischneck]

könnt ihr mir evtl. bezüglich reihenfolge der installationen noch ein paar tipps geben?

also zb zuerst das betriebssystem, dann netzwerkverbindung einrichten, dann schauen ob es irgendwo noch updates benötigt....anschliessend direkt auf die seite des browser-anbieters meiner wahl....anschliessend direkt auf die seite vom passwort-manager meiner wahl....und fertig?

braucht es noch so sachen wie virenscanner (zb antivir free) oder zb spybot search & destroy? oder sind das alles schon relikte und windows selber bekommt das besser hin?

kann man 2FA abfrage für den windows-login irgendwie einrichten? oder waren eure 2FA tipps eher nur auf durchführungen von überweisungen sowie login auf div. börsen-seiten bezogen?

 

[coasterblog]

Unter Windows bitte keine Drittanbieter Software installieren, Windows macht das schon gut genug. Brain.exe aber immer ausführen

Im Browser (Firefox) kann ich NoScript empfehlen, ist unbequem aber hilft.

 

[Dr. McCoy]

also zb zuerst das betriebssystem, dann netzwerkverbindung einrichten

Die Netzwerkverbindung wird in der Regel bereits im Zuge des Setups etabliert, um gleich Updates mit einzubeziehen.

dann schauen ob es irgendwo noch updates benötigt....

Nach Installation des Betriebssystems sollte man auf jeden Fall nochmal manuell die Suche nach Updates anstoßen. So lange, bis keine Aktualisierungen mehr angeboten werden.

anschliessend direkt auf die seite des browser-anbieters meiner wahl....

Nun, wenn Du eine Linux-Distribution wählst, hast Du den Komfort- und Sicherheitsvorteil, dass der Browser direkt über den im System integrierten Paketmanager installiert werden kann, oder gar bereits im Rahmen der Standardinstallation integriert war.

anschliessend direkt auf die seite vom passwort-manager meiner wahl....und fertig?

Auch der wäre ganz simpel über die Paketquellen auswähl- und installierbar.

braucht es noch so sachen wie virenscanner (zb antivir free) oder zb spybot search & destroy?

Die tragen am wenigsten zu einer Gesamtabsicherung bei, im Gegenteil, weichen sie oft sogar die Sicherheit noch auf, wenn sie verschlüsselte Verbindungen aufbrechen.

oder sind das alles schon relikte und windows selber bekommt das besser hin?

Egal, welches System man nimmt: So alte Software wie Spybot S&D ist ohnehin obsolet.

kann man 2FA abfrage für den windows-login irgendwie einrichten?

Ich würde, falls Du keine spezielle Windows-Software benötigst, vielleicht eher zu einem Linux-basierten System raten: Da kommst Du gar nicht erst auf die Idee, irgendeine sinnfreie Zusatzsoftware zu installieren. Für Einsteiger ist sowas gut geeignet: https://linuxmint.com/

oder waren eure 2FA tipps eher nur auf durchführungen von überweisungen sowie login auf div. börsen-seiten bezogen?

Ja, insbesondere auf alle Online-basierten Konten.

 

[purzelbär]

Die tragen am wenigsten zu einer Gesamtabsicherung bei, im Gegenteil, weichen sie oft sogar die Sicherheit noch auf, wenn sie verschlüsselte Verbindungen aufbrechen.

Sorry das ich da jetzt eine Art Einspruch erhebe, aber bei jedem der Antiviren Hersteller kann man das untersuchen verschlüsselter Verbindungen auch dauerhaft deaktivieren wenn man das machen will, oder gleich bei der Installation bei manchen Herstellern gleich den Webschutz und oder Mailschutz abwählen die ja diese Funktion beinhalten.

Im Browser (Firefox) kann ich NoScript empfehlen, ist unbequem aber hilft.

Ich nehme schon länger stattdessen uBlock Origin für den Firefox.

 

[BeBur]

könnt ihr mir evtl. bezüglich reihenfolge der installationen noch ein paar tipps geben?

Du bist ein wenig zu paranoid. So schnell fängt man sich keinen Virus ein. Aber ja, zuerst updates einspielen, Rest egal.

Ich würde, falls Du keine spezielle Windows-Software benötigst, vielleicht eher zu einem Linux-basierten System raten: Da kommst Du gar nicht erst auf die Idee, irgendeine sinnfreie Zusatzsoftware zu installieren.

ImHo besser das OS nehmen, das man kennt. Linux mit seinen externen Paketquellen und Co. ist jetzt auch nicht grad optimal, wenn man nicht weiß was man tut, was als Anfänger logischerweise der Fall ist.

Antiviren Hersteller

Eine Software die so tief in das System eingreift wie AV Software wäre genau das, was ich nicht installieren würde auf einem PC, den ich möglichst sicher haben will.

Ka, was der TE überhaupt noch absichern will, wenn er überall 2FA verwendet. Ist schlicht nur für das "gut fühlen" und "coolness Faktor" nen "extra-sicheren" getrennten PC zu verwenden. Am Ende wird Kaffee drüber geschüttet, alle Daten weg und Backup wurde bei der ganzen Hacker-Absicherung leider unterschlagen und alles ist wieder mal futsch.

 

[purzelbär]

Eine Software die so tief in das System eingreift wie AV Software wäre genau das, was ich nicht installieren würde auf einem PC, den ich möglichst sicher haben will.

Mit Windows 10 hätte er aber auch ein System bei dem ein Antivirus schon mit dabei ist mit dem Windows Defender.

 

[Dr. McCoy]

ImHo besser das OS nehmen, das man kennt.

Dem muss ich klar widersprechen. Das ist kein handfestes Kriterium. Sieht man alleine schon daran, dass viele Nutzer, die (jetzt in diesem Beispiel Windows) schon teils Jahrzehnte in der Nutzung kennen, aber immer noch z.B. mit Standardkonfiguration der Ordneroptionen bzw. Explorer-Optionen unterwegs sind, und bekannte Dateinamenerweiterungen ausgeblendet lassen, ja, oft gar nicht mal wissen, was das ist, und weshalb man das umstellen sollte.

Mit anderen Worten: Es kommt, wenn man ein sicheres System etablieren möchte, vor allem auf das Wissen an, welche sicherheitstechnischen Elemente wichtig sind. Und wie falsch da selbst langjährige Windows-Nutzer liegen, sieht man oft daran, dass sie bei Sicherheit meist zuerst an Virenscanner oder andere Zusatzsoftware denken. Ein fataler Irrtum.

Bedeutet: Viele dieser Nutzer müssen sowieso sicherheitsrelevante Elemente von Grund auf lernen bzw. die wichtigen Prioritäten kennen. Und dann spielt es auch eine untergeordnete Rolle, ob man dafür nun eine bereits länger genutzte Basis verwendet, oder eine neue.

 

[BeBur]

Mit Windows 10 hätte er aber auch ein System bei dem ein Antivirus schon mit dabei ist mit dem Windows Defender.

Ja, absolut, Windows 10 wäre auch meine Empfehlung. Für den Win Defender gilt das was ich schrieb explizit nicht, ich sehe, ich hatte das "Drittanbieter-Software" unterschlagen.

Dem muss ich klar widersprechen.

Deine Argumente sind gut, damit hast du sicher Recht. Ich hab das glaube ich ein wenig zu sehr aus einer Power-User Perspektive gesehen.