Sicherheitsgrundregeln für Windows-User
10 Maßnahmen, die jeder selbst umsetzen kann — als Mindestschutz gegen die häufigsten Angriffe. Kein IT-Studium erforderlich.
CIS Controls v8.1 (IG1) | BSI Cyber-Sicherheitsempfehlungen 2025 | NIST SP 800-63B | Windows 10 / 11
309.000
Neue Schadprogramm-Varianten täglich (BSI 2024)
80 %
Angriffe nutzen bekannte, gepatchte Lücken
IG1
CIS-Grundschutz - für alle Nutzenden empfohlen
ca. 2h
Einmaliger Aufwand für alle 10 Maßnahmen
Windows Update - sofort und automatisch
Aktiviere automatische Updates und installiere sie ohne Verzögerung. Dies schließt mehr als 80 % aller ausgenutzten Angriffspfade.
Die meisten erfolgreichen Angriffe nutzen Sicherheitslücken, für die bereits Patches verfügbar sind — die Systeme wurden nur nicht aktualisiert. Das BSI stuft fehlende Patches seit Jahren als häufigste Ursache für kompromittierte Systeme ein. Wichtig: Windows 10 verlor im Oktober 2025 den Hersteller-Support — Upgrade auf Windows 11 zwingend erforderlich.
- Einstellungen → Windows Update → Automatische Updates aktivieren
- Neustarterinnerungen nicht dauerhaft verschieben — max. 1 Tag
- Zusätzlich: Microsoft Store öffnen → Bibliothek → Alle aktualisieren (Apps)
Microsoft Defender - aktiviert lassen, nichts dazukaufen
Microsoft Defender Antivirus ist in Windows integriert, kostenlos und nach unabhängigen Tests auf Augenhöhe mit kostenpflichtigen Lösungen. Einfach aktiviert lassen.
Kostenlose Drittanbieter-Virenscanner liefern häufig eine zusätzliche Angriffsfläche, da sie tief ins Betriebssystem eingreifen. Defender erhält täglich automatische Signatur-Updates und ist vollständig in Windows integriert. Das BSI und CIS empfehlen konsistent, Bordmittel zu bevorzugen, wenn sie ausreichen.
- Windows-Sicherheit → Viren- und Bedrohungsschutz → Status prüfen (grüner Haken)
- Echtzeitschutz muss aktiviert sein — nie dauerhaft deaktivieren
- Defender Firewall: Windows-Sicherheit → Firewall und Netzwerkschutz → alle Profile aktiv
Standardkonto für den Alltag, Adminkonto nur für Installationen
Richte einen zweiten Windows-Benutzer ohne Admin-Rechte ein und arbeite damit täglich. Das Admin-Konto nur für Software-Installationen nutzen.
Schadsoftware, die über E-Mail oder Browser eindringt, bekommt automatisch die Rechte des angemeldeten Benutzers. Als Standardbenutzer kann Malware keine System-Dateien überschreiben, keine Dienste installieren und kein rootkit setzen. Dies ist eine der wirksamsten Einzel-Maßnahmen überhaupt und Teil jeder CIS-IG1-Empfehlung.
- Einstellungen → Konten → Familie und andere Benutzer → Konto hinzufügen
- Kontotyp: Standardbenutzer (nicht Administrator)
- Mit diesem Konto täglich anmelden; bei Bedarf Admin-Passwort eintippen
Passwortmanager + einzigartiges Passwort pro Dienst
Kein Passwort zweimal verwenden. Einen Passwortmanager einrichten — er generiert und speichert sichere Passwörter. Nur das Master-Passwort selbst merken.
Credential Stuffing (automatisiertes Durchprobieren gestohlener Passwörter) ist einer der häufigsten Angriffsvektoren. Wer für jeden Dienst dasselbe Passwort nutzt, riskiert nach jedem Datenleck den Verlust aller Konten. NIST SP 800-63B empfiehlt Länge statt Komplexität — eine Passphrase aus 4 zufälligen Wörtern ist sicherer als &Pa$$w0rd1!&
- Bitwarden (kostenlos, open source) oder KeePassXC (lokal, offline) installieren
- Master-Passwort: Passphrase aus 4+ zufälligen Wörtern wählen (z.B. "Birne-Wolke-Stuhl-Nebel")
- Für jeden neuen Login: Passwort generieren lassen (min. 16 Zeichen, zufällig)
- Leak-Check: haveibeenpwned.com — eigene E-Mail-Adresse prüfen
MFA überall aktivieren - Authenticator-App statt SMS
Zwei-Faktor-Authentifizierung (MFA) auf allen wichtigen Konten aktivieren. Authenticator-App bevorzugen — SMS-OTP ist deutlich schwächer.
MFA ist die einzeln wirksamste Maßnahme gegen Kontoübernahmen. Microsofts Sicherheitsdaten zeigen, dass MFA über 99,9 % der automatisierten Passwort-Angriffe blockiert. SMS-Codes können durch SIM-Swapping abgefangen werden — eine Authenticator-App (TOTP) ist deutlich sicherer. Noch besser: ein Hardware-Key (FIDO2) wie YubiKey.
- Microsoft Authenticator oder Aegis (Android/iOS) installieren
- Microsoft-Konto: account.microsoft.com → Sicherheit → Erweiterte Sicherheitsoptionen
- Google: myaccount.google.com → Sicherheit → Bestätigung in zwei Schritten
- Priorität: E-Mail-Konto, Microsoft-Konto, Banking, soziale Netzwerke
BitLocker aktivieren - Geräteverschlüsselung einschalten
BitLocker oder die Windows-Geräteverschlüsselung schützt alle Daten bei Verlust oder Diebstahl des Geräts — vollständig automatisch im Hintergrund.
Ohne Festplattenverschlüsselung kann jeder mit physischem Zugang zur Festplatte alle Daten im Klartext lesen — das Windows-Anmeldepasswort schützt dabei gar nicht. Ein gestohlenes Laptop ist ohne Verschlüsselung ein offenes Buch. Mit BitLocker sind alle Daten bei ausgeschaltetem Gerät kryptografisch geschützt.
- Windows 11 Home: Einstellungen → Datenschutz und Sicherheit → Geräteverschlüsselung → Einschalten
- Windows 11 Pro: Systemsteuerung → BitLocker-Laufwerkverschlüsselung → Einschalten
- Wiederherstellungsschlüssel sicher aufbewahren (Ausdruck + sicherer Ort, NICHT auf demselben PC)
Regelmäßige Backups nach der 3-2-1-Regel
3 Kopien, auf 2 verschiedenen Medien, davon 1 extern (oder offline). Nur ein sauberes Backup schützt zuverlässig vor Ransomware.
Ransomware verschlüsselt alle Dateien auf dem System und verbundenen Netzlaufwerken — einschließlich dauerhaft angeschlossener externer Festplatten. Ein Backup, das permanent mit dem PC verbunden ist, bietet keinen Ransomware-Schutz. Das BSI-Lagebericht 2024 verzeichnet täglich im Schnitt 309.000 neue Schadprogramm-Varianten, viele davon Ransomware.
- Lokal: Externe Festplatte, Backup erstellen, Festplatte danach trennen
- Cloud: OneDrive, iCloud oder Backblaze B2 (verschlüsselt)
- Windows-Bordmittel: Einstellungen → System → Speicher → Sicherungsoptionen → Datei-Versionsverlauf
- Backup-Frequenz: wichtige Daten mindestens wöchentlich; Restore einmal testen
Software nur aus vertrauenswürdigen Quellen - Browser absichern
Kein "Crack", kein "Keygen", keine Software von zufälligen Websites. Browser-Erweiterungen auf das absolute Minimum reduzieren. Software über winget oder offizielle Seiten installieren.
Gefälschte Softwaredownloads und manipulierte Browser-Erweiterungen sind laut BSI-Lagebericht 2025 einer der häufigsten Erstangriffsvektoren. Jede Browser-Erweiterung hat weitreichenden Zugriff auf alle besuchten Webseiten — Passwörter, Banking, E-Mails. Das CIS Benchmark für Chrome/Edge empfiehlt: maximal 3–5 gut geprüfte Erweiterungen.
- Software nur vom Hersteller direkt oder via winget (Windows Package Manager) installieren
- Browser-Erweiterungen: alle installierten prüfen, unbekannte entfernen
- Browser auf aktuellem Stand halten (Chrome/Edge aktualisieren automatisch)
- Im Browser: Popup-Blocker aktivieren, Sicherheitsstufe nicht herabsetzen
- Nicht empfohlen: Browser-Erweiterungen für Passwörter von unbekannten Anbietern
Links und Anhänge aus E-Mails kritisch hinterfragen
Kein Link aus unerwarteten E-Mails anklicken. Absenderadresse genau prüfen — nicht nur den Anzeigenamen. Im Zweifel: direkt beim Absender nachfragen.
Phishing ist laut BSI die häufigste Angriffsmethode — über 57 % der Anfragen ans BSI-Service-Center 2024 betrafen Phishing und Identitätsdiebstahl. KI ermöglicht mittlerweile perfekt formulierte, personalisierte Phishing-E-Mails ohne die klassischen Rechtschreibfehler. Angreifer kaufen täuschend ähnliche Domains (z.B. amazon-sicherheit.de) und fälschen Absendernamen.
- Echte Absenderadresse prüfen: Anzeigename und tatsächliche E-Mail-Adresse können abweichen
- Nie Zugangsdaten auf Seiten eingeben, die über E-Mail-Link aufgerufen wurden — direkt tippen
- Unerwartete Dateianhänge (.docx mit Makros, .exe, .iso): nicht öffnen, nachfragen
- Dringende Aufforderungen ("Konto gesperrt!", "Sofort handeln!") sind ein Warnsignal
- Phishing-E-Mail erkannt? Nicht löschen — IT/Mailprovider melden
Automatische SPerre + Geräte beim Verlassen sperren
Bildschirmsperre nach spätestens 5 Minuten Inaktivität. Beim Verlassen des Geräts: Windows+L drücken. Klingt banal, verhindert aber physische Angriffe und "shoulder surfing".
Viele Sicherheitsvorfälle entstehen nicht durch technische Angriffe, sondern durch kurze physische Zugangsfenster — im Büro, im Café, im Zug. Ein ungesperrtes Gerät ermöglicht in wenigen Sekunden das Installieren von Keyloggern, das Stehlen von Passwörtern aus dem Browser oder das Versenden von E-Mails im Namen des Nutzers. CIS-IG1 umfasst explizit die Konfiguration automatischer Sitzungssperrung.
- Automatische Sperre: Einstellungen → Personalisierung → Bildschirmschoner → Anmeldeseite bei Reaktivierung
- Kurzschluss: Einstellungen → System → Netzbetrieb → Bildschirm ausschalten nach 5 Minuten
- Gewohnheit: Windows + L merken und beim Aufstehen reflexartig drücken
- Windows Hello: PIN, Fingerabdruck oder Gesichtserkennung einrichten für schnelle Entsperrung