cryptocd-archiv/v1.0/ausLese/xp_datenschutz/oh_wxp.html

981 lines
62 KiB
HTML
Raw Permalink Normal View History

2005-04-24 17:01:16 +02:00
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="Content-Type"
content="text/html; charset=iso-8859-1" />
<meta name="Author" content="LfD M-V" />
<meta name="Keywords"
content="Sicherheitsrisiken,Internet,Systemverwalter,Administrator,Passwort,Registry,Protokollierung,Zugriffsrechte,Benutzer,Betriebssystem,Windows,xp,wxp,Sicherheit,Grundschutz" />
<title>Datenschutz bei Windows XP Professional</title>
</head>
<body>
<h3 align="center">Der Landesbeauftragte f&uuml;r den Datenschutz
Mecklenburg-Vorpommern</h3>
<h1 align="center">Datenschutz bei</h1>
<h1 align="center">Windows XP professional</h1>
<h2 align="center">Orientierungshilfe</h2>
<p align="center"><b>Stand: 2003</b> </p>
<p>&nbsp; </p>
<h2><a name="ab1" id="ab1"></a>1 Einleitung </h2>
<p>Windows XP wird in zwei Versionen angeboten: Windows XP Home und Windows
XP Professional. Wie schon der Name vermuten l&auml;sst, ist Windows XP
Professional f&uuml;r den professionellen Gebrauch besser geeignet als die Home
Version, da bestimmte Funktionen mit der Home-Version nicht ausf&uuml;hrbar
sind (siehe Punkt 13). Die nachfolgenden Ausf&uuml;hrungen beziehen sich
deshalb haupts&auml;chlich auf Windows XP Professional. </p>
<p>Die Orientierungshilfe richtet sich deshalb auch in erster Linie an
versierte Anwender wie Administratoren aus dem Bereich der professionellen
Datenverarbeitung, denen der Umgang mit Windows vertraut ist und die somit auch
die Schwachstellen &auml;lterer Windows-Betriebssysteme bereits kennen. Das
Papier ist im Arbeitskreis "Technische und organisatorische Datenschutzfragen"
der Datenschutzbeauftragten des Bundes und der L&auml;nder beraten und
zustimmend zur Kenntnis genommen worden. </p>
<p>Windows XP Professional tritt die Nachfolge von Windows 2000
Professional an. Die neue Benutzeroberfl&auml;che, die erweiterte Hilfe und
viele Assistenten sind die auf den ersten Blick auff&auml;lligsten
Ver&auml;nderungen bei Windows XP. Die Assistenten sollen den gestiegenen
administrativen Aufwand eingrenzen. Insbesondere f&uuml;r erfahrene Benutzer
sind sie gew&ouml;hnungsbed&uuml;rftig und oft etwas zuviel des Guten, zumal
automatisierte Vorg&auml;nge schlechter nachvollziehbar und dadurch
undurchsichtiger werden. Die enge Anbindung an das Internet macht das
Betriebssystem besonders leicht angreifbar. </p>
<p>Im Mittelpunkt dieser Betrachtung des neuen Betriebssystems von
Microsoft sollen datenschutzrelevante Aspekte stehen. Der Benutzer soll auf
bestehende M&auml;ngel in der Sicherheit des Betriebssystems aufmerksam gemacht
werden. Es sollen Hinweise gegeben werden, wie diese M&auml;ngel
eingeschr&auml;nkt oder umgangen werden k&ouml;nnen. Dar&uuml;ber hinaus werden
wesentliche Sicherheitsaspekte des Betriebssystems erkl&auml;rt, damit
bestimmte sicherheitsrelevante Einstellungen vorgenommen werden k&ouml;nnen.
</p>
<p>&nbsp;</p>
<h2><a name="ab2" id="ab2"></a>2 Was ist neu bei Windows XP </h2>
<p><a name="ab2.1" id="ab2.1"></a><b>2.1 Neue Benutzeroberfl&auml;che</b> </p>
<p>Das Startmen&uuml; ist vollkommen neu gestaltet, bietet den Zugriff auf
den Programmpfad und auch auf h&auml;ufig genutzte Programme </p>
<p><a name="ab2.2" id="ab2.2"></a><b>2.2 Hilfe und Supportcenter</b> </p>
<p>Mit dem Hilfe- und Supportcenter wurde der Zugriff auf die Onlinehilfe
intensiviert. </p>
<p><a name="ab2.3" id="ab2.3"></a><b>2.3 Vereinfachungen f&uuml;r die
Administration</b> </p>
<p>Da der administrative Aufwand sehr gestiegen ist, werden Assistenten
bereitgestellt. </p>
<p><a name="ab2.4" id="ab2.4"></a><b>2.4 Schneller Benutzerwechsel</b> </p>
<p>Mehrere Benutzer k&ouml;nnen sich gleichzeitig anmelden, der Desktop und
alle Tasks bleiben erhalten. </p>
<p><a name="ab2.5" id="ab2.5"></a><b>2.5 Neue Sicherheitsmechanismen</b> </p>
<p>Mit Windows XP Professional wartet das Betriebssystem mit zahlreichen
neuen Sicherheits-Funktionen auf. Zu den Wichtigsten z&auml;hlen: </p>
<ul>
<li>die Verschl&uuml;sselung von Dateien und Ordnern auch f&uuml;r
mehrere Benutzer, </li>
<li>Analysefunktionen f&uuml;r Angriffe, Firewallfunktionen, </li>
<li>automatische Konfiguration sicherheitsrelevanter Einstellungen. </li>
</ul>
<p>Eine weitere aus datenschutzrechtlicher Sicht bedeutende Neuerung bei
Windows XP ist die so genannte Produktaktivierung (siehe Punkt 5). </p>
<p>&nbsp;</p>
<h2><a name="ab3" id="ab3"></a>3 Vorteile und Nachteile von Windows XP</h2>
<p><a name="ab3.1" id="ab3.1"></a><b>3.1 Vorteile</b> </p>
<p>Durch die neue Treiberarchitektur wurde die Stabilit&auml;t des
Betriebssystems verbessert. Die ver&auml;nderte Benutzeroberfl&auml;che ist
eher umstritten. F&uuml;r Computerneulinge vereinfacht sie sicher die Nutzung,
f&uuml;r erfahrene Benutzer ist sie jedoch gew&ouml;hnungsbed&uuml;rftig, weil
vieles v&ouml;llig anders als bisher ist. Immerhin kann auch die gewohnte,
klassische Windows-Oberfl&auml;che gew&auml;hlt werden. Da der administrative
Aufwand gestiegen ist, werden einige erleichternde Hilfen durch Windows zur
Verf&uuml;gung gestellt: </p>
<ul>
<li>mehr Assistenten f&uuml;r Basisaufgaben, </li>
<li>Zusammenfassung von Verwaltungsaufgaben in der Managementkonsole,
</li>
<li>kontextorientierte Aufgabenlisten in den Standardordnern, </li>
<li> neue Ansicht der Systemsteuerung, </li>
<li> Verlagerung von bestimmten Aufgaben in das Hilfe- und Supportcenter.
</li>
</ul>
<p><a name="ab3.1.1" id="ab3.1.1"></a><b><i>3.1.1 Verbesserte Hilfe</i></b> </p>
<p>Die Suchfunktion ist deutlich leistungsf&auml;higer als seine
Vorg&auml;nger. So kann &uuml;ber den Suchdialog direkt nach Dokumenten,
Computern, Druckern oder Personen gesucht werden. Neu ist der Start der
Suchfunktion f&uuml;r das Internet. Die enge Verflechtung mit dem Internet
spart zwar Zeit und Arbeit, ist jedoch nicht ganz unbedenklich. Nachteilig ist
allerdings, dass kein Handbuch mehr zur Verf&uuml;gung gestellt wird. </p>
<p><a name="ab3.1.2" id="ab3.1.2"></a><b><i>3.1.2 Verbesserte
Systemwiederherstellung</i></b> </p>
<p>Die Systemwiederherstellung kann im Falle eines Systemproblems einen
fr&uuml;heren Zustand des Computers wiederherstellen, ohne dass die
pers&ouml;nlichen Datendateien (z. B. Dokumente, Internetfavoriten und E-Mail)
verloren gehen. Die Systemwiederherstellung &uuml;berwacht &Auml;nderungen auf
dem Computer und erstellt regelm&auml;&szlig;ig leicht identifizierbare
Wiederherstellungspunkte. Dar&uuml;ber hinaus kann der Nutzer selbst jederzeit
eigene Wiederherstellungspunkte erstellen und benennen. </p>
<p><a name="ab3.1.3" id="ab3.1.3"></a><b><i>3.1.3 Onlineunterst&uuml;tzung</i></b> </p>
<p>Mit Hilfe der Remoteunterst&uuml;tzung kann anderen Personen gestattet
werden, eine Verbindung mit dem eigenen Computer &uuml;ber das Internet
herzustellen, sich in einem Chat mit dem Nutzer zu unterhalten und dessen
Computerbildschirm einzusehen. Au&szlig;erdem kann dieser Assistent nach
entsprechender Zustimmung die Tastatur des Nutzers und dessen Maus steuern und
somit bei der Problembehandlung helfen. Zus&auml;tzlich werden auch die
Dateisysteme des Client-Ger&auml;ts auf den Windows XP Rechner &uuml;bertragen,
damit dieser Rechner auf die Laufwerke des Clients zugreifen kann (siehe dazu
auch Punkt 6.4). Die Supportseite erm&ouml;glicht es, sich direkt an den
Computerhersteller oder, falls Windows XP separat erworben wurde, an Microsoft
zu wenden. In der Support-Newsgroup kann der Austausch von Informationen und
Hilfe mit anderen Benutzern erfolgen. </p>
<p><a name="ab3.1.4" id="ab3.1.4"></a><b><i>3.1.4 Offline-Unterst&uuml;tzung</i></b>
</p>
<p>Falls keine Internetverbindung zur Verf&uuml;gung steht, k&ouml;nnen
andere Tools f&uuml;r die Problembehandlung genutzt werden: Die so genannten
Computerinformationen zeigen Informationen &uuml;ber die zurzeit installierte
Software und Hardware an. Die erweiterten Systeminformationen und das
Systemkonfigurationsprogramm bieten technische Details, mit denen Mitarbeiter
vom technischen Support Probleme beheben k&ouml;nnen. </p>
<p><a name="ab3.1.5" id="ab3.1.5"></a><b><i>3.1.5 Schnelle Benutzerumschaltung</i></b>
</p>
<p>Windows XP f&uuml;hrt mit Hilfe der Terminaldiensttechnologie eindeutige
Benutzersitzungen aus, wodurch die Daten der einzelnen Benutzergruppen
eindeutig voneinander getrennt bleiben. Durch das verwendete Benutzerkennwort
werden die Daten separat voneinander gesch&uuml;tzt, sofern sie sich auf einer
NTFS-Partition befinden. Die schnelle Benutzerumschaltung ist nur bei Computern
einer Arbeitsgruppe oder bei eigenst&auml;ndigen Computern m&ouml;glich.
Geh&ouml;rt der Computer zu einer Dom&auml;ne, erfolgen die Optionen f&uuml;r
die Anmeldung nach den vom Administrator festgelegten Richtlinien (siehe auch
Punkt 9). </p>
<p>Die neue Benutzerumschaltung erm&ouml;glicht es, schnell zwischen
Benutzern umzuschalten, ohne sich am Computer abzumelden. Mehrere Benutzer
k&ouml;nnen einen Computer gemeinsam nutzen und ihn gleichzeitig verwenden,
wobei die Benutzer wechseln k&ouml;nnen, ohne die Programme, die sie
ausf&uuml;hren, zu schlie&szlig;en (z. B. ein Computer f&uuml;r alle
Mitarbeiter einer Lagerverwaltung). </p>
<p><a name="ab3.2" id="ab3.2"></a><b>3.2 Nachteile</b> </p>
<p>Windows XP ist das wohl neugierigste Betriebssystem aller Zeiten. Der
Internet-Explorer suchte schon vor XP automatisch nach Updates. Aber in keiner
der vorherigen Windows-Versionen hat Microsoft so viele Komponenten eingebaut,
die &uuml;ber das Internet Kontakt mit den Microsoft-Servern aufnehmen, wie z.
B. das Windows-Update, die Fehlerberichterstattung und die Zeitsynchronisation.
</p>
<p>Den Messenger von Microsoft musste sich bisher jeder auf seinen PC
laden, der ihn einsetzen wollte. Bei XP sind jetzt diese Anwendungen und
Funktionen Standard. Windows XP schreibt einen Fehlerbericht, sobald ein
Programm abst&uuml;rzt, und gibt dem Anwender die M&ouml;glichkeit, diesen per
Internet an Microsoft zu senden (siehe Abb.1). Immerhin k&ouml;nnte der
Anwender davon indirekt profitieren, da Microsoft mit der so entstehenden
Datenbank unter anderem nat&uuml;rlich auch das Betriebssystem verbessern kann.
Abb.1 </p>
<p><img src="abb1.gif" width="510" height="382" border="0" /></p>
<p>Abb. 1 zeigt eine typische Fehlermeldung mit Hinweisen zu den
&uuml;bertragen Daten. Mit dem Hinweis, dass die Informationen "auf einer
sicheren Datenbank mit eingeschr&auml;nktem Zugriff gespeichert werden" und
dass der "Bericht nicht zu Werbezwecken verwendet wird" soll
m&ouml;glicherweise der datenschutzgerechte Umgang mit diesen Daten suggeriert
werden, nachpr&uuml;fbar ist jedoch keine dieser Aussagen. </p>
<p>Der &uuml;ber das Netz &uuml;bertragene Fehlerbericht enth&auml;lt
folgende Informationen: </p>
<ul>
<li>Informationen &uuml;ber den Zustand der Datei zum Zeitpunkt, als das
Problem auftrat, </li>
<li>die Betriebssystemversion und die verwendete Computerhardware, </li>
<li>die digitale Produkt-ID die zum Identifizieren der Lizenz verwendet
werden kann, </li>
<li>die Internetprotokolladresse (IP). </li>
</ul>
<p>Es kann aber auch vorkommen, dass der Fehlerbericht kundenspezifische
Informationen enth&auml;lt, wie z. B. Daten aus ge&ouml;ffneten Dateien. Diese
Informationen, falls vorhanden, k&ouml;nnen zum Feststellen der Identit&auml;t
verwendet werden. </p>
<p><a name="ab3.2.1" id="ab3.2.1"></a><b><i>3.2.1 So sch&uuml;tzen Sie sich</i></b> </p>
<p>Grunds&auml;tzlich gilt: Alle genannten Funktionen lassen sich &uuml;ber
die Systemsteuerung abschalten (siehe Abb.2) </p>
<p><b>Automatische Aktualisierung abschalten</b> </p>
<p>Die Automatische Aktualisierung l&auml;sst sich &uuml;ber
<i>Systemsteuerung/Netzwerk und Internetverbindungen/Internetoptionen</i> auf
der Karte <i>erweitert</i> abschalten. </p>
<p>Wurden die automatischen Aktualisierungen nicht abgeschaltet,
k&ouml;nnen sie &uuml;ber <i>Systemsteuerung/Software</i> jederzeit wieder
entfernt werden. Alle Aktualisierungen werden dort verwaltet. </p>
<p>Abb.2 </p>
<p><img src="abb2.gif" width="572" height="661" border="0" /></p>
<p><b>Empfehlung:</b> Die automatische &Uuml;berpr&uuml;fung auf
Aktualisierungen vom Internet Explorer sollte deaktiviert sein. </p>
<p><b>Abschalten der Zeitsynchronisation</b> </p>
<p>Bei der Funktion Zeitsynchronisation stimmt Windows XP die Uhrzeit des
PCs mit einer Uhr im Internet ab. Dazu wird ein Internet-Server von Microsoft
kontaktiert. Als Standardserver kann jedoch auch ein anderer Server eingetragen
werden. </p>
<p>Ein Entfernen des H&auml;kchens bei "Automatisch mit einem
Internetserver synchronisieren" verhindert diese st&auml;ndigen
Kontaktaufnahmeversuche (siehe Abb. 3). </p>
<p>Abb.3 </p>
<p><img src="abb3.gif" width="578" height="648" border="0" /></p>
<p>Die Zeitsynchronisation l&auml;sst sich unter <i>Datum und Uhrzeit</i>
abschalten oder auf einen anderen Internet-Server umlenken. </p>
<p><b>Fehlerprotokoll aufrufen/Kontrolle der &uuml;bertragenen Daten
&uuml;ber die Hilfe und Supportdienste</b></p>
<p>Zur besseren Kontrolle der &uuml;bertragen Daten sollte die
entsprechende Mitteilung immer angezeigt bleiben (siehe Abb. 4). Nur so
l&auml;sst sich einsch&auml;tzen, welche Informationen wann &uuml;bertragen
werden. </p>
<p>Abb.4 </p>
<p><img src="abb4.gif" width="830" height="687" border="0" /></p>
<p><b>Empfehlung:</b> Das Feld "Diese Meldung nicht mehr anzeigen" sollte
deaktiviert bleiben. </p>
<p><b>Automatische Updates</b> </p>
<p>Auch Updates k&ouml;nnen so eingestellt werden, dass sie nicht
automatisch erfolgen, und der Nutzer den &Uuml;berblick beh&auml;lt, wann
welches Update erfolgt (siehe Abb. 5). </p>
<p>Abb.5 </p>
<p><img src="abb5.gif" width="585" height="666" border="0" /></p>
<p><b>Empfehlung:</b> Automatische Updates sollten deaktiviert sein,
mindestens jedoch sollte vorher eine Benachrichtigung erfolgen. </p>
<p><a name="ab3.2.2" id="ab3.2.2"></a><b><i>3.2.2 Softwareunterst&uuml;tzung</i></b>
</p>
<p>Einen guten &Uuml;berblick &uuml;ber die in Punkt 3.2.1genannten
datenschutzrelevanten Einstellungen kann man sich auch mit Hilfe
zus&auml;tzlicher Software verschaffen. Das - allerdings nur f&uuml;r die
private Nutzung kostenlos - aus dem Internet herunter zu ladende Programm
XPAntiSpy beispielsweise erm&ouml;glicht ein sehr komfortables Konfigurieren
dieser Systemeinstellungen &uuml;ber die Windows-Oberfl&auml;che oder im
Befehlszeilenmodus. </p>
<p>&nbsp;</p>
<h2><a name="ab4" id="ab4"></a>4 Die Installation von Windows XP</h2>
<p><a name="ab4.1" id="ab4.1"></a><b>4.1 Anforderungen an Hardware</b> </p>
<p>Folgende Mindestvorrausetzungen bzw. Empfehlungen f&uuml;r die Hardware
sollten ber&uuml;cksichtigt werden, um fl&uuml;ssiges Arbeiten zu
gew&auml;hrleisten: </p>
<table border="1" cellpadding="3" cellspacing="1">
<tr>
<td><b>Hardware</b></td>
<td><b>Mindestanforderungen</b></td>
<td><b>Empfohlen</b></td>
</tr>
<tr>
<td>CPU</td>
<td>266 MHz Pentium</td>
<td>500 MHz Pentium III</td>
</tr>
<tr>
<td>RAM</td>
<td>64 MB</td>
<td>256 MB</td>
</tr>
<tr>
<td>Festplatte</td>
<td>2 GB; min.1,2 GB Frei</td>
<td>Ab 4 GB</td>
</tr>
<tr>
<td>Netzwerk</td>
<td>PCI 10 MBit</td>
<td>PCI 100 MBit</td>
</tr>
<tr>
<td>Grafikkarte</td>
<td>PCI-Grafikkarte</td>
<td>AGP-Grafikkarte</td>
</tr>
<tr>
<td>CD-ROM</td>
<td>12-fach</td>
<td>32-fach</td>
</tr>
<tr>
<td>Floppy</td>
<td>1,44 MB</td>
<td>1,44 MB</td>
</tr>
</table>
<p>Das Vorhandensein der Maus ist Bedingung. </p>
<p>Es gibt drei verschieden M&ouml;glichkeiten, Windows XP zu installieren:
Update-, Neu-, und Parallelinstallation. F&uuml;r die Parallelinstallation muss
f&uuml;r Windows XP eine eigene Partition eingerichtet sein. </p>
<p>Die Produktaktivierung kann telefonisch oder online &uuml;ber das
Internet erfolgen (siehe Punkt 5). </p>
<p>Alle Benutzer, die bereits w&auml;hrend der Installation von Windows XP
eingerichtet wurden, erhalten zun&auml;chst automatisch die Rechte eines
System-Administrators. Es sind nicht nur "Benutzer", wie das dazugeh&ouml;rige
Dialogfenster vermuten l&auml;sst, sondern "Administratoren" mit entsprechenden
Privilegien. Diese lassen sich zwar im Nachhinein einschr&auml;nken, besser ist
es aber, bestimmte Rechte von vornherein auszuschlie&szlig;en. Dabei ist jedoch
zu ber&uuml;cksichtigen, dass sich einige Applikationen ohne
Administrator-Rechte nicht sinnvoll betreiben lassen. Eine Abw&auml;gung
zwischen Produktivit&auml;t und Sicherheit ist deshalb immer notwendig. </p>
<p><a name="ab4.2" id="ab4.2"></a><b>4.2 Automatisierte Installation</b> </p>
<p>Die komplette Installation vieler identischer Computer bedeutet hohen
zeitlichen Aufwand und entsprechend hohe Kosten. Der schnellstm&ouml;gliche
Ersatz bei Ausfall eines Computersystems in einem Unternehmen ist ein weiterer
Grund f&uuml;r eine Arbeitserleichterung auf diesem Gebiet. </p>
<p>F&uuml;r die automatisierte Installation gibt es mehrere
M&ouml;glichkeiten: </p>
<blockquote>
<p><b>Mit Hilfe von Antwortdatei f&uuml;r WINNT.EXE/WINNT32.EXE</b> </p>
<blockquote>
<p>&Uuml;ber Antwortdateien wird das Setup von Windows XP gesteuert. In
normalen Textdateien werden in einer bestimmten Syntax die Antworten
eingetragen, die normalerweise durch den Benutzer eingegeben werden. Das
automatisch ablaufende Setup verk&uuml;rzt die ben&ouml;tigte Zeit f&uuml;r die
Installation. Das Administratorkennwort wird unverschl&uuml;sselt im Klartext
in der Antwortdatei (siehe Punkt 4.2) abgelegt und kann damit leicht
missbr&auml;uchlich genutzt werden. Man sollte deshalb hier noch kein reales,
sicherheitsrelevantes Passwort festlegen, sondern zun&auml;chst nur eines
f&uuml;r den jeweiligen lokalen Zugriff auf den Computer definieren und nach
Abschluss der Installation sofort &auml;ndern. </p></blockquote></blockquote>
<blockquote>
<p><b>Mit Hilfe von Verteilung von Disk-Images </b></p>
<blockquote>
<p> Bei dieser Methode wird &uuml;ber spezielle Programme ein bitweises
Abbild (Image) der spezifizierten Partition erzeugt, welches auf einem anderen
Computersystem wieder auf der Festplatte eingef&uuml;gt werden kann.
</p></blockquote></blockquote>
<blockquote>
<p><b>&Uuml;ber Remoteinstallationsdienste (siehe auch Punkt 3.1.3)
</b></p></blockquote>
<p>&nbsp;</p>
<h2><a name="ab5" id="ab5"></a>5 Produktaktivierung</h2>
<p><a name="ab5.1" id="ab5.1"></a><b>5.1 Produktaktivierung</b> </p>
<p>Windows XP l&auml;sst einen Start ohne Produktaktivierung nur
w&auml;hrend der ersten 30 Tage zu. Danach muss das Produkt durch entsprechende
Registrierung aktiviert werden. Diese Zwangsaktivierung soll Microsoft vor
Raubkopieren sch&uuml;tzen. </p>
<p>Bei der Produktaktivierung wird ein 50-stelliger Code per Web oder
Telefon an Microsoft &uuml;bermittelt. Darin sind verschiedene Merkmale des
Computers gespeichert. Die 50 Stellen reichen allerdings nicht aus, um das
genaue Modell zu &uuml;bermitteln. </p>
<p><i>Folgende Daten Pr&uuml;ft und verschickt Windows XP:</i></p>
<ul>
<li>Seriennummer der Windows-Partition </li>
<li>MAC-Adresse der Netzwerkkarte </li>
<li>CD-ROM-ID-Nummer </li>
<li>Grafikkarten-ID-Nummer </li>
<li>Prozessor-ID-Nummer </li>
<li>Festplatten-ID-Nummer </li>
<li>SCSI-Adaptter-ID-Nummer </li>
<li> IDE-Controller-ID-Nummer </li>
<li>Modell des Prozessors </li>
<li>Gr&ouml;&szlig;e des RAM </li>
</ul>
<p>Nachdem Windows XP aktiviert wurde, d&uuml;rfen laut Hersteller nur noch
geringf&uuml;gige &Auml;nderungen am System vorgenommen werden, bevor eine
erneute Aktivierung f&auml;llig wird. Dabei ist wichtig, ob am normalen PC oder
am Notebook mit Dockingstation gearbeitet wird. Am normalen PC sind bis zu 3
&Auml;nderungen m&ouml;glich, am Notebock k&ouml;nnen es bis zu 6
&Auml;nderungen an der Hardware sein. (Bei einem Notebook, das an eine
Docking-Station anschlie&szlig;bar ist, werden Grafikkarte und
SCSI-Host-Adapter nicht in die Berechnung einbezogen.) </p>
<p>Die Microsoft Produktaktivierung ist bei Paket-, OEM-, System
Builder-Produkten und Lizenzen f&uuml;r Sch&uuml;ler, Studierende und
Lehrkr&auml;fte erforderlich. Die Microsoft Volumenlizenzprogramme sind hiervon
ausgenommen, das hei&szlig;t, sie m&uuml;ssen nicht aktiviert werden. </p>
<p><a name="ab5.2" id="ab5.2"></a><b>5.2 &Uuml;bertragung personenbezogener Daten bei
der Produktaktivierung</b> </p>
<p>Der T&Uuml;ViT hat im Auftrag der Microsoft Deutschland GmbH die
Produktaktivierung der Microsoft Produkte Windows XP, Office XP und Visio 2002
gepr&uuml;ft. Dabei sind die Mitarbeiter zu folgendem Resultat gekommen: </p>
<p>In den untersuchten Programmteilen wurden keinerlei Anhaltspunkte
gefunden, dass personenbezogenen Daten automatisch &uuml;ber das Internet
&uuml;bertragen werden. Erst wenn ein Benutzer auch eine freiwillige
Registrierung durchf&uuml;hrt, werden nach Abfrage der expliziten Zustimmung
personenbezogene Daten &uuml;bertragen. Dies gilt entsprechend auch f&uuml;r
eine telefonische Registrierung. </p>
<p>Der Technische &Uuml;berwachungsverein stellte dem Betriebssystem
Windows XP in Bezug auf die Produktaktivierung zwar eine
Unbedenklichkeitsbescheinigung in Sachen Datenschutz aus. Fragw&uuml;rdig
bleibt diese Zwangsregistrierung dennoch, insbesondere weil Microsoft nichts
zur Art und Weise der k&uuml;nftigen Verwendung der gesammelten Informationen
sagt. Dass die Nutzung vieler verbesserter Merkmale von Windows XP eine
Internet-Verbindung quasi zwingend voraussetzt, macht viele Anwender
zus&auml;tzlich skeptisch, da Sicherheitsprobleme bei der Internetanbindung die
Schwachstelle des Systems zu sein scheinen. </p>
<p>&nbsp;</p>
<h2><a name="ab6" id="ab6"></a>6 Sicherheit im Netzwerk</h2>
<p><a name="ab6.1" id="ab6.1"></a><b>6.1 Schutz nach au&szlig;en</b> </p>
<p>Der Schutz vertraulicher Daten bei der &Uuml;bermittlung &uuml;ber das
Internet von einem lokalen Computer oder einem B&uuml;ronetzwerk ist heute
zunehmend schwierig. Durch Festverbindungen und Flatrates sind Ports auf
lokalen Rechnern mit entsprechender Software wie Portscannern leicht zu orten.
Auch dynamische IP-Adressen bieten keinen Schutz davor, dass inzwischen ganze
Netzwerke gescannt werden. Es ist beobachtet worden, dass bereits nach 20
Minuten Online-Zeit erste Scannerzugriffe erfolgten. Erkennt der Angreifer dann
offene Ports, die Systemdienste anbieten, kann er dar&uuml;ber versuchen,
Zugriff auf das System zu erlangen. </p>
<p>Grunds&auml;tzlich gilt: Je l&auml;nger die Verbindung, desto
gr&ouml;&szlig;er die Angriffswahrscheinlichkeit. </p>
<p>Gef&auml;hrdet sind Computer und Netzwerke aber auch oft durch mangelnde
Sensibilit&auml;t der Anwender. Die Meinung: "Wer sollte mich schon angreifen?"
ist nach wie vor sehr verbreitet, angesichts der M&ouml;glichkeiten von Windows
XP jedoch v&ouml;llig fehl am Platz. Die zahlreichen, scheinbar ziellosen
Portscans zeigen, dass zun&auml;chst keine auf bestimmte Personen bezogene
Angriffe gefahren werden. Oft werden einfach irgendwelche offene Computer
gesucht, um dort trojanische Pferde zu installieren. Diese schaden nicht
zwangsl&auml;ufig direkt den befallenen Computer, sondern greifen nach
entsprechenden Anweisung von au&szlig;en das eigentliche Opfer an. Selbst stark
abgesicherte Systeme sind angreifbar, indem extrem viele Anfragen,
m&ouml;glichst mit fehlerhaften Paketen, gestartet werden
(Denial-of-Service-Attacken). Dass hierbei die Angriffe von unwissenden
Anwendern weltweit verteilt sind, macht eine Abwehr fast unm&ouml;glich. Dem
Angegriffenen bleibt oft keine andere Wahl als den Server abzuschalten. </p>
<p><a name="ab6.2" id="ab6.2"></a><b>6.2 Sicherheitsprotokolle f&uuml;r das
Netzwerk</b> </p>
<p><a name="ab6.2.1" id="ab6.2.1"></a><b><i>6.2.1 Kerberos - sichere
Authentifizierung</i></b> </p>
<p>Wie schon Windows 2000, so verwendet auch XP zur sicheren
Authentisierung im Netzwerk das Kerberos-Protokoll. Kerberos ist als zentraler
Sicherheitsstandard in Windows 2000/XP und in Active Directory (siehe auch
Punkt 11) implementiert. Kerberos verwendet zum einen ein
Verschl&uuml;sselungsverfahren f&uuml;r die Schl&uuml;ssel selbst, zum anderen
so genannte Zeittickets, die den Ablauf der &Uuml;bertragung kontrollieren.
Microsoft hat den Kerberos-Standard weiter entwickelt, so dass nun auch
Zertifikate mit &ouml;ffentlichen Schl&uuml;sseln eingesetzt werden
k&ouml;nnen. Diese Schl&uuml;ssel werden mit dem Zertifikatserver erstellt, der
nur in der Windows 2000 Server-Familie verf&uuml;gbar ist. </p>
<p><a name="ab6.2.2" id="ab6.2.2"></a><b><i>6.2.2 Sicherer Datentransfer - IPSec</i></b>
</p>
<p>Mit IPSec (IPSecurity) ist in Windows XP wie bereits in Windows 2000
eine Technologie implementiert, die Daten auf IP-Ebene verschl&uuml;sselt, und
somit vor Abh&ouml;rangriffen und unbefugten Ver&auml;nderungen sch&uuml;tzen
soll. F&uuml;r Applikationen bleibt dieser Vorgang transparent. IPSec erlaubt
den einfachen Aufbau sicherer Verbindungen auf Betriebssystemebene, ohne dass
die Anwendungen speziell daf&uuml;r ausgelegt sein m&uuml;ssen. Mit IPSec
l&auml;sst sich der Datenverkehr im LAN (Lokal Network Area) und im WAN (Wide
Area Network) sch&uuml;tzen. Es sch&uuml;tzt gleicherma&szlig;en vor den
Angriffen Interner und Externer. Diese Dienstesammlung basiert auf der DES
(Data Encryption Standard) - oder 3DES-Verschl&uuml;sselung und kann auch auf
getunnelte Verbindungen wie z. B. L2TP (Layer 2 Tunneling Protocol) aufsetzen
(siehe auch Punkt 6.2.3). IPSec bietet ein h&ouml;heres Ma&szlig; an Sicherheit
als PPTP (Point to Point Tunneling Protocol) und wird wohl langfristig PPTP
abl&ouml;sen. IPSec bietet zwei verschiedene Betriebsmodi: den Transportmodus
und den Tunnelmodus. Im Transportmodus wird nur der Datenteil des zu
transportierenden IP-Paketes verschl&uuml;sselt, im Tunnelmodus wird das
komplette IP-Paket verschl&uuml;sselt und mit einem neuen IP-Kopf und dem
IPSec-Kopf versehen. </p>
<p><a name="ab6.2.3" id="ab6.2.3"></a><b><i>6.2.3 L2TP (Layer 2 Tunneling
Protocol)</i></b> </p>
<p>Das Tunneling von Datenpaketen &uuml;ber IP gewinnt immer mehr Bedeutung
f&uuml;r den Aufbau Virtueller Privater Netzwerke (VPN). Der Transport von
Daten erfolgt hierbei &uuml;ber das Netzwerk in abgeschlossenen (privaten)
Einheiten. Damit die Daten auch sicher sind, werden sie einzeln verpackt und
&uuml;ber TCP/IP-Protokoll "getunnelt" verschickt. Bisher wurde bei Windows das
Point-to-Point Tunneling Protocol (PPTP) verwendet. Da andere Systeme aber auch
mit anderen Standards arbeiten, unterst&uuml;tzt Microsoft mit Windows XP neben
PPTP jetzt auch L2TP. Da dieses Protokoll von sich aus keine
Verschl&uuml;sselung unterst&uuml;tzt, kann hierbei IPSec zum Einsatz kommen
(siehe auch Punkt 6.2.2). </p>
<p><b>Vergleich</b> von <b>PPTP gegen&uuml;ber L2TP</b> </p>
<p>L2TP unterscheidet sich nur in wenigen Punkten von PPTP. PPTP und L2TP
verwenden die Datenverbindungsschicht (Ebene 2) und packen die Datenpakete in
Frames des Punkt-zu-Punkt-Protokolls. L2TP unterst&uuml;tzt mehrere Tunnel.
PPTP arbeitet nur &uuml;ber IP-Netzwerke. Der Vorteil von L2TP gegen&uuml;ber
PPTP ist, dass es direkt &uuml;ber die verschiedenen WAN &uuml;bertragen werden
kann, aber optional auch &uuml;ber den Umweg IP funktioniert. </p>
<p><a name="ab6.3" id="ab6.3"></a><b><i>6.3 Internetverbindungsfirewall</i></b> </p>
<p>Die Internetverbindungsfirewall soll den Computer sch&uuml;tzen, auf dem
sie aktiviert ist. Bei den meisten Heim- bzw. kleinen B&uuml;ronetzwerken ist
dies der so genannte ICS-Hostcomputer (Internet Connection Sharing), also der
Computer, der die DF&Uuml;-Verbindung zum Internet herstellt. Ohne dass weitere
DF&Uuml;-Verbindungen aufgebaut werden m&uuml;ssen, k&ouml;nnen alle Computer
im Heim- oder im kleinen B&uuml;ronetzwerk mit dem Internet verbunden werden,
da sie die vom ICS-Host aufgebaute Verbindung gemeinsam nutzen k&ouml;nnen.
Eine Internetverbindung &uuml;ber die vorhandene DF&Uuml;-Verbindung
k&ouml;nnen andere Computer im Netzwerk nur dann herstellen, wenn ICS auf dem
ICS-Host aktiviert ist. Die Adressen der Clientcomputer erscheinen nicht im
Internet, nur der gemeinsam genutzte Host ist &ouml;ffentlich sichtbar. </p>
<p>Die Firewall sch&uuml;tzt dann bei Aktivierung jede beliebige
Internetverbindung. Die Firewall speichert Kommunikationsdaten, Sende- und
Empfangsadressen von jeder Verbindung zwischen dem Internet und dem Computer
und verwaltet sie in einer Tabelle. Daten von nicht erwarteten Adressen werden
abgewiesen. Sind Zugriffe auf den Computer aus dem Internet beispielsweise
&uuml;ber http, ftp oder andere Dienste gewollt, so m&uuml;ssen diese extra
konfiguriert werden. </p>
<p>Die Remoteunterst&uuml;tzung wird hingegen nicht eingeschr&auml;nkt
(siehe auch Punkt 6.4). Sie ist immer in beiden Richtungen m&ouml;glich.
W&auml;hrend eines Remotezugriffs ist der Schutz durch die Firewall weitgehend
aufgehoben, und das gesamte System ist dadurch verwundbar. </p>
<p>Die Windows XP Firewall bietet kleinen Netzwerken, die mit dem Internet
verbunden sind, nur eine sehr tr&uuml;gerische Sicherheit. Wird n&auml;mlich
der Windows Messenger oder andere MS Software gestartet, d&uuml;rfen
Multimedia-Dateien die Firewall ungehindert passieren. Das Desinteresse
ausgehenden IP-Paketen gegen&uuml;ber stellt ein erhebliches Sicherheitsrisiko
dar. Ins System eingedrungene Trojaner k&ouml;nnen trotz der integrierten
Firewall ungehindert eine Verbindung ins Netzwerk oder Internet aufnehmen. Der
Schutz durch die integrierten Firewall ist zwar besser als gar kein Schutz.
Trotzdem sollte das System zus&auml;tzlich mit einer externen Firewall
abgesichert werden, die auch ausgehende Daten kontrolliert, damit beide
Richtungen abgesichert sind. </p>
<p>Standardm&auml;&szlig;ig ist die in Windows XP integrierte Firewall
abgeschaltet. Unter <i>Systemsteuerung/Netzwerk- und
Internetverbindungen/Netzwerkverbindungen</i> rechte Maustaste
<i>Eigenschaften</i> Registrierkarte <i>Erweitert</i> sollte sie zugeschaltet
werden. </p>
<p><a name="ab6.4" id="ab6.4"></a><b>6.4 Remote Zugriff</b> </p>
<p>Bei der Remoteunterst&uuml;tzung wird einem bestimmten autorisierten
Personenkreis gestattet, &uuml;ber das Web, auf den entfernten Computer
zuzugreifen. Die Autorisierung der Remotebenutzer erfolgt in den
<i>Systemeinstellungen/Leistung und Wartung/System</i> Registerkarte Remote
unter Remotedesktop, Remotebenutzer ausw&auml;hlen. </p>
<p>Vorraussetzungen f&uuml;r einen Remote-Zugriff sind: </p>
<ul>
<li>Der Clientcomputer sowie der Remotecomputer m&uuml;ssen entweder
Windows Messenger oder ein MAPI-kompatibles E-Mail-Konto, wie z. B. Microsoft
Outlook oder Outlook Express, verwenden. </li>
<li>Der Clientcomputer sowie der Remotecomputer m&uuml;ssen &uuml;ber
eine Internetverbindung verf&uuml;gen, w&auml;hrend Sie die
Remoteunterst&uuml;tzung verwenden. </li>
</ul>
<p>Externe Firewalls k&ouml;nnen bei entsprechender Konfiguration die
Remoteunterst&uuml;tzung verhindern. </p>
<p>Eine Anmeldung ohne Kennwort kann bei Windows XP nur direkt an der
Konsole des physischen Computers erfolgen. Standardm&auml;&szlig;ig k&ouml;nnen
Konten mit leeren Kennw&ouml;rtern nicht mehr f&uuml;r eine Remoteanmeldung an
dem Computer verwendet werden. Die Einschr&auml;nkung, die eine Anmeldung
&uuml;ber ein Netzwerk verhindert, kann aufgehoben werden, indem einem lokalen
Konto ein Kennwort zugewiesen wird. </p>
<p><b>Remoteinstallation</b> </p>
<p>&Uuml;ber die Remotinstallationsdienste kann Windows XP Professional auf
einem Computer &uuml;ber das Netzwerk installiert werden. Der zu installierende
Client-PC wird &uuml;ber eine bootf&auml;hige Netzwerkkarte oder eine spezielle
Bootdiskette gestartet und kann nach der Verbindung mit dem RIS-Server (Remote
Installation Services) mit Windows XP installiert werden. </p>
<p><b>Risiken eines Remotezugriffs</b> </p>
<p>Schon allein die zus&auml;tzliche Schnittstelle gef&auml;hrdet die
Sicherheit und Zuverl&auml;ssigkeit der Ressourcen, unabh&auml;ngig vom
verwendeten Remote System. Zum einen besteht eine erh&ouml;hte Virengefahr, zum
anderen ein erh&ouml;htes Risiko des Zugriffs durch unbefugte Benutzer auf das
Unternehmensnetzwerk. Neben der obligatorischen Authentisierung durch
Benutzernamen und Passwort sollten unbedingt weitere M&ouml;glichkeiten zum
Schutz der Ressourcen genutzt werden (z. B. Smartcards). Wichtig ist in diesem
Zusammenhang auch der Schutz offen zug&auml;nglicher Telefonanschl&uuml;sse,
die zum &uuml;bertragen von Codes genutzt werden. </p>
<p>Ein Remotezugriff sollte nur dann eingerichtet werden, wenn dies
zwingend erforderlich ist und nach Abw&auml;gung der damit verbundenen Risiken
vertretbar ist. </p>
<p><a name="ab6.5" id="ab6.5"></a><b>6.5 Der Internet Explorer 6</b> </p>
<p>Da der Internet Explorer 6 standardm&auml;&szlig;ig mit Windows XP
ausgeliefert wird, folgt hier eine kurze Sicherheitsbetrachtung. </p>
<p>Der Internet Explorer unterteilt das Internet in Zonen, so dass jeder
Web-Seite eine Zone mit einer geeigneten Sicherheitsstufe zugewiesen werden
kann. Bei dem Versuch, Inhalte aus dem Web zu &ouml;ffnen oder herunter zu
laden, &uuml;berpr&uuml;ft der Internet Explorer die Sicherheitseinstellungen
f&uuml;r die Zone dieser Web-Seite. Das Einstellen der Internetoptionen erfolgt
auf der Registrierkarte SICHERHEIT. </p>
<p>Es gibt vier verschiedene Zonen: </p>
<ul>
<li>Internet </li>
<li>Lokales Intranet </li>
<li>Vertrauensw&uuml;rdige Sites </li>
<li>Eingeschr&auml;nkte Sites </li>
</ul>
<p>F&uuml;r jede Zone gibt es Sicherheitsstufen von "SEHR NIEDRIG" bis
"HOCH" sowie "BENUTZERDEFINIERT". Unter anderem l&auml;sst sich einstellen, ob
aktive Inhalten ausgef&uuml;hrt werden d&uuml;rfen. Da kaum nachvollzogen
werden kann, welche Auswirkungen aktive Inhalte haben k&ouml;nnen, sollten sie
grunds&auml;tzlich deaktiviert werden. Je mehr Sicherheitsfunktionen zur
Minimierung Sicherheitsrisiken aktiviert werden, um so st&auml;rker k&ouml;nnen
nat&uuml;rlich die Nutzm&ouml;glichkeiten einiger Websites eingeschr&auml;nkt
werden. </p>
<p><a name="ab6.6" id="ab6.6"></a><b>6.6 Cookies</b> </p>
<p>Auf der Registerkarte DATENSCHUTZ k&ouml;nnen Sie das Verhalten des
Internetexplorers gegen&uuml;ber Cookies einstellen. Folgende
Cookieeinstellungen sind verf&uuml;gbar: </p>
<p>ALLE ANNEHMEN Alle Cookies werden ohne R&uuml;ckfrage akzeptiert. </p>
<p>NIEDRIG Cookies, die nicht zur aufgerufenen Webseite passen, werden
abgelehnt. </p>
<p>MITTEL Cookies, die nicht zur aufgerufenen Webseite passen, werden
abgelehnt. Au&szlig;erdem werden Betreiber der Website gesperrt, wenn bekannt
ist, dass diese pers&ouml;nliche Informationen verwenden. </p>
<p>MITTELHOCH Cookies werden abgelehnt, wenn Drittanbieter, die nicht zur
aufgerufenen Website passen, keine ausdr&uuml;ckliche Zustimmung des Benutzers
anfordern. </p>
<p>HOCH Ebenso wie MITTELHOCH, jedoch auch f&uuml;r den Betreiber der
aufgerufenen Website selbst geltend. </p>
<p>ALLE SPERREN Alle Cookies werden gesperrt. </p>
<p>Die automatische Verwaltung von Cookies sollte aus
Sicherheitsgr&uuml;nden abgeschaltet werden. </p>
<p>&nbsp;</p>
<h2><a name="ab7" id="ab7"></a>7 Passport- der Weg zum gl&auml;sernen
Internet-Surfer?</h2>
<p>Um die Einwahl in verschieden Internetdienste zu vereinfachen, bietet
Windows XP die Anmeldung &uuml;ber den Dienst "Passport" an. Durch einen
Passport kann dann ausschlie&szlig;lich durch Verwendung einer E-Mail-Adresse
auf alle MSN Internetzugangs-Websites und anderen Dienste und Websites, die
Passports unterst&uuml;tzen, zugegriffen werden. Passport implementiert einen
Anmeldedienst, der es erm&ouml;glicht, mit einem Benutzernamen und einem
Kennwort alle .NET-Passport-kompatiblen Dienste nutzen. </p>
<p>Die Nutzung von Passport ist aus datenschutzrechtlicher Sicht nicht
unbedingt zu bef&uuml;rworten. Hier teilen sich alle Anbieter ein und dieselbe
Datenbank, denselben Login-Mechanismus und dieselbe Sicherheitstechnik. Die
Weiterleitung im Browser erfolgt ohne SSL, was bereits ausreicht, um in einen
Account einzudringen. </p>
<p>Experten warnen davor, bei der Passport-Anmeldung die geforderten
pers&ouml;nlichen Daten einzugeben. Damit k&ouml;nnte Microsoft jeden
Computernutzer zusammen mit der eindeutigen 64-Bit-Nummer identifizieren.
Sobald sich der Verbraucher bei einer Website anmeldet, die mit Microsoft
kooperiert, wird seine Identifizierung an den Betreiber dieser Website
&uuml;bermittelt. Hinzu kommt, dass das Netz der &uuml;ber diesen Dienst
zug&auml;nglichen Anbieter noch nicht sehr weit ausgebaut ist, so dass es sich
f&uuml;r den Nutzer bisher kaum lohnt, diesen Dienst in Anspruch zu nehmen.
</p>
<p>Wenn der Passport-Dienst nicht genutzt wird, stehen alle weiteren
Funktionen von Windows XP uneingeschr&auml;nkt zur Verf&uuml;gung. </p>
<p>&nbsp;</p>
<h2><a name="ab8" id="ab8"></a>8 Gravierendes Sicherheitsleck: UPnP (Universal Plug
and Play)</h2>
<p>UPnP geh&ouml;rt zu den Innovationen, die den Umgang mit Hardware im
Netzwerk vereinfachen sollen. Vernetzte Ger&auml;te teilen automatisch ihre
Anwesenheit anderen UPnP-f&auml;higen Ger&auml;ten mit, die sich daraufhin
bereitwillig auf die Zusammenarbeit einlassen. UPnP wird bei jeder
Standard-Installation von Windows XP eingerichtet und aktiviert, und kann auch
Microsofts fr&uuml;heren Betriebssystemversionen Windows 98, 98SE oder ME
manuell hinzugef&uuml;gt werden. </p>
<p>UPnP erfordert keinerlei Interaktion mit dem Benutzer. Aufgrund
schwerwiegender Fehler in der UPnP-Implementierung in Windows XP kann ein
Angreifer durch einen Puffer-&Uuml;berlauf uneingeschr&auml;nkte Kontrolle
&uuml;ber das System erlangen, Daten lesen und l&ouml;schen, Programme
installieren und DDoS-Angriffe ausf&uuml;hren, sogar ohne in das System
einzudringen. Von diesem Problem ist laut Microsoft jede Installation von
Windows XP betroffen, denn die UPnP-Funktionalit&auml;t ist
standardm&auml;&szlig;ig aktiviert. Der Hersteller selbst ver&ouml;ffentlichte
am 20. Dezember 2001 eine deutschsprachige Reparatursoftware f&uuml;r XP
f&uuml;r diesen von unabh&auml;ngigen IT-Sicherheitsforschern entdeckten
Fehler. </p>
<p>Der von Microsoft zur Verf&uuml;gung gestellte Patch k&uuml;mmert sich
jedoch lediglich um die Verwundbarkeit; UPnP wird dadurch nicht deinstalliert.
Am sichersten ist es UPnP vollst&auml;ndig zu entfernen und die Ports 5000 und
1900 zu schlie&szlig;en. </p>
<p>&nbsp;</p>
<h2><a name="ab9" id="ab9"></a>9 Interne Sicherheit</h2>
<p><a name="ab9.1" id="ab9.1"></a><b>9.1 SmartCards</b> </p>
<p>Unter XP ist die Unterst&uuml;tzung von SmartCards direkt im
Betriebssystem integriert. Die kleinen scheckkartengro&szlig;en K&auml;rtchen
eignen sich beispielsweise zum Speichern von Sicherheitszertifikaten,
Anmeldekennw&ouml;rtern, privaten Schl&uuml;sseln sowie anderen
pers&ouml;nlichen Informationen. Im Gegensatz zu einem Kennwort wird die PIN,
die den Zugriffsschutz zur SmartCard realisiert, niemals im Netzwerk
weitergeleitet, und bietet somit einen h&ouml;heren Schutz als ein
herk&ouml;mmliches Kennwort. </p>
<p>SmartCards lassen nur eine beschr&auml;nkte Anzahl von fehlgeschlagenen
Versuchen zur Eingabe der richtigen PIN zu. Dann werden sie gesperrt und
funktionieren dann auch bei Eingabe der richtigen PIN nicht mehr. Der Benutzer
muss sich zum Entsperren der Karte an den Systemadministrator wenden. </p>
<p>Vorteil bei der Verwendung dieser Technologie ist die stark vereinfachte
Authentifizierungsprozedur, besonders wenn im Active Directory (siehe Punkt 11)
die Anmeldung f&uuml;r verschiedenste Dienste zusammengefasst wird. </p>
<p><a name="ab9.2" id="ab9.2"></a><b>9.2 Integrierte "Sandbox"</b> </p>
<p>Windows XP verf&uuml;gt &uuml;ber eine integrierte "Sandbox", um
Anwendungen in einem gesch&uuml;tzten Bereich ablaufen zu lassen und somit
Manipulationen und Besch&auml;digungen am System zu verhindern. </p>
<p><a name="ab9.3" id="ab9.3"></a><b>9.3 Windows-Dateischutz</b> </p>
<p>Bei Windows-Versionen vor Windows 2000 war nicht auszuschlie&szlig;en,
dass bei der Installation von Software, die zus&auml;tzlich zum Betriebssystem
gebraucht wurde, freigegebene Systemdateien, z. B. Dynamic Link Libraries
(DLL-Dateien) und ausf&uuml;hrbare Dateien (EXE-Dateien), ohne jede Nachfrage
&uuml;berschrieben wurden. Wenn Systemdateien &uuml;berschrieben werden, wird
die Leistung des Systems unvorhersehbar, Programme k&ouml;nnen sich fehlerhaft
verhalten und das Betriebssystem kann versagen. </p>
<p>In Windows 2000 und Windows XP verhindert der Windows-Dateischutz, dass
gesch&uuml;tzte Systemdateien, z. B. Dateien mit den Erweiterungen SYS, DLL,
OCX, TTF, FON und EXE, &uuml;berschrieben werden. Der Windows-Dateischutz wird
im Hintergrund ausgef&uuml;hrt und sch&uuml;tzt alle Dateien, die durch das
Windows Setup-Programm installiert wurden. Der Windows-Dateischutz erkennt auch
Versuche von anderen Programmen, eine gesch&uuml;tzte Systemdatei zu ersetzen
oder zu verschieben. Um festzustellen, ob es sich bei der neuen Datei um die
korrekte Microsoft-Version handelt, wird ihre digitale Signatur vom
Windows-Dateischutz &uuml;berpr&uuml;ft. Falls die Datei nicht die korrekte
Version aufweist, ersetzt der Windows-Dateischutz diese Datei entweder durch
die Sicherungskopie, die im Ordner <b>Dllcache</b> gespeichert ist, oder durch
die entsprechende Datei von der Windows-CD. Wenn der Windows-Dateischutz die
entsprechende Datei nicht finden kann, werden Sie aufgefordert, den Speicherort
anzugeben. Zus&auml;tzlich wird der versuchte Dateiaustausch vom
Windows-Dateischutz im Ereignisprotokoll aufgezeichnet. </p>
<p>Der Windows-Dateischutz ist standardm&auml;&szlig;ig aktiviert und
erm&ouml;glicht es, vorhandene Dateien durch digital signierte Windows-Dateien
zu ersetzen. Derzeit werden signierte Dateien auf folgenden Wegen
bereitgestellt: </p>
<ul>
<li>Windows Service Packs, </li>
<li>Hotfix-Distributionen, </li>
<li>Betriebssystemupdates, </li>
<li>Windows-Aktualisierung, </li>
<li>Windows Ger&auml;te-Manager/Klasseninstallationsprogramm. </li>
</ul>
<p><a name="ab9.4" id="ab9.4"></a><b>9.4 Offline Dateien</b> </p>
<p>Offline Dateien werden verwendet, um auf dem Netzwerk gespeicherte
Dateien und Programme auch dann noch nutzen zu k&ouml;nnen, wenn keine
Internetanbindung mehr besteht. Tempor&auml;re Offlinedateien werden auch als
automatisch zwischengespeicherte Dateien bezeichnet. Diese freigegebenen
Netzwerkdateien werden automatisch gespeichert. Diese Dateien m&uuml;ssen nicht
gesondert offline verf&uuml;gbar gemacht werden. Windows kann sie jederzeit von
Ihrem lokalen Cache entfernen, wenn mehr Speicherplatz f&uuml;r weitere
tempor&auml;re Dateien ben&ouml;tigt wird. Die freigegebenen Netzwerkdateien,
die ausdr&uuml;cklich offline verf&uuml;gbar gemacht worden sind, stehen immer
zur Verf&uuml;gung. Diese Dateien werden erst dann vom Computer entfernt, wenn
sie gel&ouml;scht werden. Wenn man sichergehen will, dass z. B. bei
&Uuml;bergabe eines Notebooks an eine andere Person keine Daten im
Offline-Cache verbleiben, sollte der Cache gel&ouml;scht werden. </p>
<p><a name="ab9.5" id="ab9.5"></a><b>9.5 EFS (Encrypting File Systems)</b> </p>
<p>Mit Hilfe von EFS k&ouml;nnen Daten auf der Festplatte vor unbefugtem
Zugriff wirksam gesch&uuml;tzt werden. Eine direkte Integration in den Windows
Explorer gestattet die einfache Nutzung der Datenverschl&uuml;sselungsfunktion.
Allein das Aktivieren des entsprechenden Kontrollk&auml;stchens reicht aus, um
einen Ordner oder eine Datei verschl&uuml;sseln zu lassen. Dabei arbeitet der
Dateisystemfilter des EFS v&ouml;llig transparent, Ver- und
Entschl&uuml;sselungsvorg&auml;nge laufen unsichtbar im Hintergrund ab. </p>
<p>Die verschl&uuml;sselte Datei kann nur noch durch die berechtigten
Benutzer ge&ouml;ffnet, umbenannt, kopiert oder verschoben werden. Alle anderen
Benutzer werden abgewiesen. Neu ist bei Windows XP, dass Sie mehr als einem
Benutzer den Zugriff auf eine EFS-verschl&uuml;sselte Datei gestatten
k&ouml;nnen. </p>
<p>Beim EFS wird die Datei zun&auml;chst symmetrisch mit einem FEK (File
Encryption Key) verschl&uuml;sselt. Der FEK wird wiederum mit einem
&ouml;ffentlichen Schl&uuml;ssel aus dem &ouml;ffentlichen/privaten
Schl&uuml;sselpaar des Anwenders verschl&uuml;sselt. Um eine Wiederherstellung
verschl&uuml;sselter Daten auch ohne den privaten Schl&uuml;ssel des Anwenders
zu erm&ouml;glichen, z. B. nach Verlust des Schl&uuml;ssels oder dem
Ausscheiden eines Mitarbeiters, wird der FEK auch mit dem &ouml;ffentlichen
Schl&uuml;ssel des &ouml;ffentlichen/privaten Schl&uuml;ssels des
Wiederherstellungsagenten verschl&uuml;sselt. Entschl&uuml;sseln k&ouml;nnen
diese Daten nur autorisierte Benutzer und designierte
Wiederherstellungsagenten. Die Datei selbst kann auch vom Nutzer mit
Administratorrechten nicht ge&ouml;ffnet werden, wenn er nicht als
Wiederherstellungsagent bestimmt wurde. </p>
<p>Das Wiederherstellungsrecht besitzt unter Windows XP der Administrator
standardm&auml;&szlig;ig. F&uuml;r eine Sicherung der verschl&uuml;sselten
Dateien vor dem Zugriff des Administrators kann das
Wiederherstellungszertifikat des Administrators gel&ouml;scht werden. Dann sind
die verschl&uuml;sselten Dateien eines Benutzers nur noch mit dessen Zertifikat
entschl&uuml;sseln. Zus&auml;tzlich oder alternativ zu den genannten
Administratoren k&ouml;nnen weitere Benutzer als Wiederherstellungs-Agenten
bestimmt werden; dies geschieht durch Eintragen in der Sicherheitsrichtlinie
unter Richtlinien &ouml;ffentlicher Schl&uuml;ssel/Agenten f&uuml;r
Wiederherstellung verschl&uuml;sselter Daten. Als Wiederherstellungs-Agenten
k&ouml;nnen nur einzelne Benutzer, nicht jedoch ganze Gruppen bestimmt werden.
Zur Sicherheit sollten so wenig Wiederherstellungsagenten eingerichtet werden
wie m&ouml;glich. Im Regelfall ist eine entsprechende Berechtigung ausreichend.
In der verschl&uuml;sselten Datei kann der Benutzer unter
Eigenschaften/erweitert/Details Verschl&uuml;sselungsdetails einsehen,
Zugriffsrechte f&uuml;r weitere Benutzer festlegen und Informationen zum den
Wiederherstellungsagenten erhalten. A</p>
<p>lle EFS-Vorg&auml;nge werden auf dem Computer ausgef&uuml;hrt, auf dem
sie gespeichert sind. Beim Kopieren einer verschl&uuml;sselten Datei &uuml;ber
das Netzwerk wird sie entschl&uuml;sselt und im Zielordner wieder
verschl&uuml;sselt. Sie ist damit auf dem Transportweg &uuml;ber das lokale
Netzwerk oder die Datenfernverbindung prinzipiell lesbar. F&uuml;r einen
sicheren Netztransfer sollte deshalb beispielsweise IPSec genutzt werden (siehe
Punkt 6.2.2). </p>
<p>&nbsp;</p>
<h2><a name="ab10" id="ab10"></a>10 ASR (Automated System Recovery)</h2>
<p>In regelm&auml;&szlig;igen Abst&auml;nden sollten zur eigenen Sicherheit
automatische Systemwiederherstellungss&auml;tze im Rahmen eines Gesamtplanes
zur Systemwiederherstellung bei Systemversagen erstellt werden. </p>
<p>ASR ist ein zweiteiliges Wiederherstellungssystem, das aus den Teilen
ASR-Sicherung und ASR-Wiederherstellung besteht. Die Sicherung erfolgt durch
den Assistenten f&uuml;r die automatische Systemwiederherstellung, der im
Sicherungsdienstprogramm zu finden ist. Der Assistent sichert Systemstatus,
Systemdienste und alle mit den Betriebssystemkomponenten verkn&uuml;pften
Datentr&auml;ger. Er erstellt auch eine Datei mit Informationen zur Sicherung,
zur Datentr&auml;gerkonfigurationen (einschlie&szlig;lich Basisvolumes und
dynamischer Volumes) und zur Durchf&uuml;hrung einer Wiederherstellung. </p>
<p>Die automatische Systemwiederherstellung sollte erst als letztes Mittel
zur Systemwiederherstellung eingesetzt werden, wenn andere M&ouml;glichkeiten,
wie Starten im abgesicherten Modus und Wiederherstellen der letzten als
funktionierend bekannten Konfiguration, nicht greifen. </p>
<p>Um Datenverluste zu vermeiden, sollten Dateien, die nicht dem von
Microsoft vorgeschriebenen Dateitypen entsprechen bzw. nicht in den von
Microsoft dargebotenen Verzeichnissen gespeichert werden, auf einer anderen
Partition gespeichert werden, die dann von der Wiederherstellung ausgenommen
wird. </p>
<p>&nbsp;</p>
<h2><a name="ab11" id="ab11"></a>11 Active Directory</h2>
<p>Active Directory ist ein Verzeichnisdienst, der Informationen zu
Objekten und Subjekten in einem Netzwerk speichert, und diese Informationen
Benutzern und Netzwerkadministratoren zur Verf&uuml;gung stellt. Active
Directory erm&ouml;glicht Netzwerkbenutzern &uuml;ber einen einzigen
Anmeldevorgang den Zugriff auf zugelassene Ressourcen im gesamten Netzwerk. Es
stellt Netzwerkadministratoren eine anschauliche, hierarchische Ansicht des
Netzwerkes und einen einzigen Verwaltungspunkt f&uuml;r alle Netzwerkobjekte
zur Verf&uuml;gung. </p>
<p>Zur Pflege des Directorys geh&ouml;ren das Erstellen, L&ouml;schen,
&Auml;ndern und Verschieben von Objekten sowie das Festlegen von Berechtigungen
f&uuml;r Objekte, die im Verzeichnis gespeichert sind. Diese Objekte umfassen
Organisationseinheiten, Benutzer, Kontakte, Gruppen, Computer, Drucker und
freigegebene Dateiobjekte. F&uuml;r die Wahrung der Sicherheit im Active
Directory sollte die entsprechende prim&auml;re Netzwerkanmeldung mit den
betreffenden Gruppenrichtlinien abgestimmt sein. </p>
<p>Die dem Active Directory (AD) zugrunde liegenden &Uuml;berlegungen
f&uuml;hren mitunter zu sehr umfassende AD-Strukturen. So werden in zunehmendem
Ma&szlig;e landesweite, ressort&uuml;bergreifenden AD angelegt. Dabei
k&ouml;nnen Client-Server-Systeme, die bislang unabh&auml;ngig voneinander zum
Teil von der Verwaltung und zum Teil auch von externen Dienstleistern
administriert wurden, in einer Administrationsstruktur zusammengefasst werden.
Die Active Directory Technik sieht standardm&auml;&szlig;ig die Rolle der so
genannter Enterprise-Administratoren vor. Diese haben
Administrationsberechtigungen f&uuml;r das gesamte AD. Damit k&ouml;nnen die
Enterprise-Administratoren auf s&auml;mtliche Daten zugreifen, die in den
angeschlossenen Client-Server-Systemen gespeichert sind. Zwar kann man die
damit verbundenen Zugriffsberechtigungen einschr&auml;nken, jedoch k&ouml;nnen
sich die Enterprise-Administratoren die entsprechenden Zugriffsberechtigungen
jederzeit wieder selbst gew&auml;hren. Es ist daher notwendig, die Nutzung der
"allm&auml;chtigen" Enterprise-Administrator-Kennungen einzugrenzen. Dazu
bieten sich mehrere Ansatzpunkte: </p>
<ul>
<li>Verzicht auf "integrative" AD, in denen bislang separat
administrierte Client-Server-Systeme zusammengefasst werden, <br />
&nbsp;</li>
<li>m&ouml;glichst weitgehender Verzicht auf
Enterprise-Administrator-Kennungen im Tagesbetrieb; stattdessen werden
daf&uuml;r Kennungen mit (beschr&auml;nkten) Administrationsrechten verwendet;
ob die damit einhergehenden funktionalen Beschr&auml;nkungen tragbar sind, ist
von Fall zu Fall zu entscheiden, <br />
&nbsp;</li>
<li>sollen nur zwei bislang unabh&auml;ngig voneinander administrierte
Client-Server-Systeme in einem AD zusammengefasst werden, kann als
organisatorische Ma&szlig;nahme die Nutzung der
Enterprise-Administrator-Kennung nach dem Vier-Augen-Prinzip in Betracht
kommen. </li>
</ul>
<p>&nbsp;</p>
<h2><a name="ab12" id="ab12"></a>12 Sicherheitsempfehlungen</h2>
<p>Nutzer sollten der Benutzergruppe f&uuml;r Remotedesktop auf dem eigenen
Computer angeh&ouml;ren. Sie m&uuml;ssen keinesfalls als Administrator
angemeldet sein, um Remotezugriff auf den Computer zu haben. Standardnutzer
sollten prinzipiell nicht der Gruppe <b>Administratoren</b> angeh&ouml;ren und
den Computer nicht als Administrator starten, es sei denn, sie m&uuml;ssen
Aufgaben wahrnehmen, f&uuml;r die Administratorrechte erforderlich sind.
F&uuml;r die meisten Computeraufgaben reicht jedoch die Mitgliedschaft in der
Gruppe <b>Benutzer</b> oder <b>Hauptbenutzer</b>. Wenn jedoch eine
administratorspezifische Aufgabe ausgef&uuml;hrt werden muss, sollte man sich
so kurzzeitig wie m&ouml;glich als Administrator anmelden, und sofort nach der
Erledigung der entsprechenden Aufgabe abmelden. </p>
<p>Alle Remotedesktopbenutzer sollten sich nur mit einem sicheren Kennwort
anmelden. Dies ist besonders wichtig, wenn Ihr Computer direkt &uuml;ber ein
Kabelmodem oder eine DSL-Verbindung an das Internet angeschlossen ist. </p>
<p><a name="ab12.1" id="ab12.1"></a><b>12.1 Warum man sich an seinem Computer nicht
standardm&auml;&szlig;ig als Administrator anmelden sollte</b> </p>
<p>Wenn Windows 2000 oder Windows XP mit Administratorrechten gestartet
wird, ist das System besonders hohen Sicherheitsrisiken ausgesetzt. Viren oder
trojanische Pferde k&ouml;nnten auf dem System dann wesentlich schwerwiegendere
Probleme verursachen, als bei einer weniger hoch privilegierten Anmeldung. </p>
<p>Wenn man sich als Mitglied der Gruppe <b>Benutzer</b> anmeldet, kann man
bereits sehr viele Routineaufgaben durchf&uuml;hren, wie das Ausf&uuml;hren von
Programmen und das Besuchen von Internetseiten, ohne den Computer einem
unn&ouml;tigen Risiko auszusetzen. Als Mitglied der Gruppe <b>Hauptbenutzer</b>
k&ouml;nnen neben diesen Routineaufgaben auch Programme installiert, Drucker
hinzugef&uuml;gt und die meisten Programme der Systemsteuerung verwendet
werden. Administratoraufgaben, wie das Aktualisieren des Betriebssystems oder
das Konfigurieren von Systemparametern, k&ouml;nnen dann nur durchgef&uuml;hrt
werden, nachdem sich der Anwender als Standardnutzer abgemeldet und erneut als
Administrator anmeldet hat. </p>
<p><a name="ab12.2" id="ab12.2"></a><b>12.2 Tipps zum Testen der Systemsicherheit</b>
</p>
<p>Mit einem simulierten Angriff von au&szlig;en k&ouml;nnen
Sicherheitseinstellungen des Systems schnell getestet werden. Bevor man mit der
Konfiguration beginnt, sollte beispielsweise folgende Website besucht werden:
<a
href="https://grc.com/x/ne.dll?bh0bkyd2">https://grc.com/x/ne.dll?bh0bkyd2</a>
(Testseite der Gibson Research Corporation). Auf dieser Seite kann mit den
Funktionen "TEST MY SHIELDS" oder "PROBE MY PORTS" die Sicherheit des Systems
getestet werden. Der gesamte Test dauert - &uuml;ber eine DSL-Verbindung - nur
wenige Sekunden. Genauso schnell w&auml;re bei entsprechender Fehlkonfiguration
auch ein Angreifer &uuml;ber alle Schwachstellen des Systems im Bilde. Der Test
eignet sich auch gut zur Kontrolle der Protokollierungsfunktion der Firewall,
da die IP-Adressen, von denen der simulierte Angriff erfolgt, offen gelegt
werden. Dadurch ist gut nachvollziehbar, wann die Aktion vom berechtigten
Nutzer ausgel&ouml;st und welche Wirkung erzielt wurde. </p>
<p>Weitere Hinweise zu Selbsttests sind auch beim "Landesbeauftragten
f&uuml;r den Datenschutz Niedersachsen" unter
<a
href="http://www.lfd.niedersachsen.de/service/service_selbstt.html/">www.lfd.niedersachsen.de/service/service_selbstt.html/</a>
oder beim Schweizer Datenschutzbeauftragten unter
<a href="http://www.datenschutz.ch">www.datenschutz.ch</a> zu erhalten. </p>
<p>&nbsp;</p>
<h2><a name="ab13" id="ab13"></a>13 Windows XP Home </h2>
<p>Um die Sicherheit der Version XP Home einsch&auml;tzen zu k&ouml;nnen,
sollte man wissen, dass die folgenden im vorangegangenen Text beschriebenen
Merkmale nicht zur Verf&uuml;gung stehen: </p>
<ul>
<li>EFS </li>
<li>Kerberos </li>
<li>IPSec </li>
<li>Internet Information Server </li>
<li>Remotedesktop </li>
<li>Automatische Installation </li>
<li>Remotinstallationsdienste </li>
<li>Offline-Dateien und Ordner </li>
<li>Gruppenrichtlinien </li>
<li>Managementkonsole </li>
</ul>
<p>&nbsp;</p>
<h2><a name="ab14" id="ab14"></a>14 Der Windows XP Media Player </h2>
<p>Der Media Player dient der Wiedergabe vielf&auml;ltiger Sound- und
Videoformate. Der Einsatz des XP Media-Players bietet Microsoft die
M&ouml;glichkeit, &uuml;ber die Internetverbindung seinen Nutzer zu
identifizieren. Microsofts Mediaplayer f&uuml;r Windows XP verr&auml;t, welcher
Anwender welche Musikst&uuml;cke und Videos abspielt. Die Software
identifiziert zugleich mit dem Anmeldenamen des jeweiligen Windows-Benutzers
die abgespielten St&uuml;cke, und schreibt diese Informationen hinter dem
R&uuml;cken des Anwenders in eine Logdatei auf die Festplatte. Das geht einen
Schritt weiter als etwa Office-Programme, die sich maximal neun zuletzt
bearbeitete Dokumente merken, um dem Anwender das wiederholte Eintippen von
Dateinamen zu ersparen. </p>
<p>Abb.6 </p>
<p><img src="abb6.gif" width="841" height="630" border="0" /></p>
<p><a name="ab14.1" id="ab14.1"></a><b>14.1 Welche Daten erh&auml;lt Microsoft
tats&auml;chlich?</b> </p>
<p>Der Multimediaplayer zieht sich aus dem Netz die Angaben zum gespielten
Titel und zum entsprechenden K&uuml;nstler. Gleichzeitig verschickt das
Programm die Medien-ID der eingelegten CD, den der Mediaplayer von der CD
ausliest, sowie die Identifikationsnummer des installierten Mediaplayers. Die
&Uuml;bermittlung der Identifikationsnummer gibt zun&auml;chst keine Auskunft
&uuml;ber den Benutzer und verst&ouml;&szlig;t somit nicht gegen
Datenschutzauflagen. Bedenklich ist jedoch, dass dieselbe Identifikationsnummer
z. B. bei der Anmeldung f&uuml;r den Windows Media Newsletter zusammen mit Name
und E-Mail Adresse genutzt wird, und auf diesem Wege sehr wohl personenbezogene
Daten preisgibt. </p>
<p>Microsoft Sprecher Jonathan Usher erkl&auml;rte, der Konzern plane
derzeit nicht, gesammelte Daten &uuml;ber die Seh- und H&ouml;rgewohnheiten von
Kunden zu vermarkten, wolle das aber f&uuml;r die Zukunft auch nicht
ausschlie&szlig;en. Vor diesem Hintergrund sollte die Nutzung eines anderen
Players erwogen werden. Wer nicht auf den Multimediaplayer von Windows XP
verzichten will oder kann, sollte wenigstens die CD-Datenbankabfrage
deaktivieren. Allerdings kann der Benutzer erst dann wieder im Internet surfen,
wenn diese Einstellung aufgehoben ist. Sicherheit vor ungewollter
Daten&uuml;bertragung bietet da nur das Abschalten des Internetzugriffsrechts
unter Extras/Optionen/Medienbibliothek (siehe Abb. 5) </p>
<p>&nbsp;</p>
<h2><a name="ab15" id="ab15"></a>15 Fazit</h2>
<p>Bisher gibt es zum Thema XP sehr viele widerspr&uuml;chliche Aussagen.
Es ist nicht v&ouml;llig klar, welche Daten tats&auml;chlich an Microsoft
&uuml;bertragen werden und ob sich aus diesen Daten Nutzungsprofile der
Anwender erstellen lassen. Deshalb sollte insbesondere bei der Nutzung des
Internet sorgf&auml;ltig zwischen einer h&ouml;heren Benutzerfreundlichkeit und
Einbu&szlig;en bei der Sicherheit abgewogen werden. </p>
<p>Die Vielfalt, mit der das Betriebssystem versucht, mit dem Hersteller
Kontakt aufzunehmen, macht es schwierig, wirklich alle risikobehafteten
Funktionen abzuschalten und dabei noch effizient zu arbeiten. Nat&uuml;rlich
wird die Sicherheit beim Nutzen von Windows XP gr&ouml;&szlig;er, wenn der
Zugang zum Internet v&ouml;llig gesperrt wird. Aber gerade die enge
Verkn&uuml;pfung mit dem Internet soll ja den Vorteil gegen&uuml;ber
&auml;lteren Systemen ausmachen. </p>
<p>Die enge Verzahnung mit der vielf&auml;ltigen Nutzung des Internets und
mit dem Active Directory f&uuml;hren dazu, dass sich beim Einsatz von Windows
XP komplexe datenschutzrechtliche Problemstellungen ergeben k&ouml;nnen,
f&uuml;r die vor dem Einsatz von Windows XP angemessene L&ouml;sungen gefunden
werden m&uuml;ssen. Bei der Einsatzplanung von Windows XP wird deshalb die
Erstellung eines Sicherheitskonzepts empfohlen. </p>
<p>&nbsp;</p>
<p><b>Quellen</b> </p>
<p>Der Hamburgische Datenschutzbeauftragte: Datenschutz bei Windows 2000,
2002. </p>
<p>Uwe Br&uuml;nning, J&ouml;rg Krause - Windows XP Professional - Carl
Hanser Verlag </p>
<p>http://www:heise.de/newsticker/data/hps-21.02.02-000/ Verlag Heinz
Heise, 2002. </p>
<p>http://www.microsoft.com/windows/windowsmedia/windowsxpwhatsnew.asp </p>
<p>http://www.sun.de/SunPR/Pressemitteilungen/2001/PM01 </p>
<p>Martins/Kobylinska -"Auf IP-Nummer sicher","Sicherheit an Bord"- PC
INTERN 02/02 </p>
<p>&nbsp;</p> </body>
</html>