Jetzt hat es mich irgendwie heraus geworfen. Hier mein 2. Post zur Sicherheit:
Da es sich inzw. wohl eine recht kontroverse Diskussion handelt: Meinerseits mal konstruktiv in den "Raum" geworfen:
Natürlich ist Sicherheit für mich ein extrem wichtiges Thema, geht mir auch nicht am A... vorbei 
Allerdings nicht bei simplen Anwendungungsprogrammen (FF, TB...), da meine Sicherheitsmaßnahmen schon gegriffen haben, bevor ob FF - oder jedes andere Programm ( .exe, .dll, etc. ... ) auch nur in die Verlegenheit kommt, mir etwas "einzupflanzen".
Gehen wir die Sache also mal nicht wie ein laienhaftes Panik-Mache-Horror-Szenarium an, sondern professionell und pragmatisch: Es gibt schlußendlich nur 5 Möglichkeiten, wie ich mir / man sich dergleichen einfangen kann:
1. per eMail-Anhang:
Für mich irrelevant. Unbekannte bzw. verdächtige eMails werden direkt, ungesehen, sowie automatisch noch von meinen Server gelöscht (diverse Filter, die ~13 Jahre optimiert wurden, Prüfung alle 15 Min. ) - gelangen also gar nicht erst auf meine PCs ( http://www.superspamkiller.de ). Und bevpr ich mit Thunderbird meine eMails abhole, prüfe ich zuerst über den SPAM-Killer. Ich sehe also gar keine "SPAM-Mails". Disziplin ist alles!
Ich kann im Löschjournal nachschauen, welche eMails vom Server gelöscht wurden (mach ich 1-2 mal die Woche). Sollte etwas gelöscht worden sein, das korrekt an mich adressiert war, nehme ich diese eMail-Adresse in meine whitelist auf und derjenige bekommt eine Mail mit Bitte um erneutes Senden, seiner eMail.
Neben den Online-Filter (Bayes etc. ...), sind meine Filter fast 3 MB groß (~54.000 Def's !)
Für alles andere verbliebene (verseuchte Mails von Kunden, Freunden...) habe ich einen aktuellen Virenscanner, wobei aber auch meine Kunden meine Sicherheitsrichtlinien anwenden. Ergebnisse:
a) Es kommt ca. 2-3 mal im Jahr vor, dass ich eine "falsch" gelöschte eMail neu anfordern muß. Damit kann ich gut leben.
b) Es kam seit > 15 Jahren nicht mehr vor, dass ich versuchte Anhänge von Absender aus meiner whitelist erhalten habe.
c) Andere Anhänge öffne ich grundsätzlich nicht - mir egal, was da "verlockendes" drin steht, wieviel Millionen ich gewonnen habe, wieviel Viaga ich kostenlos bekommen soll, oder wie oft mich meine Banken auch auffordern, mein Passwort verifizieren zu müssen etc.
2. Attackierende / Pishing-Sites:
Dergleichen "typische" WEB-Seiten besuche und "brauche" (Porno-Seiten..) ich nicht. Für alles andere habe ich einen Virenscanner. Ergebnis:
a) Vor ca. 3 oder 4 Jahren hatte ich tatsächlich mal ne attackierende WEB-site aufgerufen. Avast hat es gemeldet und blockiert, sowohl die Port-Sicherheitsmaßnahmen als auch die Registry-Überwachung schlugen sofort an. Alles gut, alles gelöscht - nix passiert.
b) Wer Pishing sites 1. aufruft und 2. den "Anweisungen" folgt, ist selbst Schuld (der fährt wahrscheinlich auch auf Kaffeefahrten mit und kauft dort ne Wolldecke für 3.000.00 € von einer eierlegenden, schwangeren, jungfräulichen Wollmilchsau )
3. Auf Stick, DVD... z.B. von einem Kunden.
Nehme ich grundsätzlich nicht an. Erledigt.
4. Bis hier war alles Kinderkacke - wer auf sowas reinfällt: Selbst schuld.
Jetzt mal zu ernsthafteren Dingen: Bots, Attacken über IP / Routern... oder Spielzeug-Kisten, wie den Bundestrojaner. Egal wie / wo / was da an "Was-auch-immer-Schadsoftware" reinkommt:
4.1. sie muß eine ausführbare Datei sein (exe, dll etc. ...)
4.2. sie muß mindestens im RAM liegen um arbeitern zu können - evtl. auch auf der Platte
4.3. sie muß "irgendwie" gestartet werden (z.B. aus Registry)
4.4. sie muß mit dem Internet / Router Kontakt aufnehmen
Alles das kann detektiert und / oder blockiert werden kann. Genau das tue ich!
Zu Spielzeugkisten, wie den "Bundstrojnaer": Nun - wer kein Terrorist ist und sich auch sonst "unter dem Radar" hält und kein SEK erwartet, braucht davor keine Angst haben. Ansonsten wissen wir:
Um sowas eingepflanzt zu bekommen, dazu muß wohl der Provider, der die IP aufbaut (Telekom, 1und1 etc. ... ) direkt oder indirekt wohl mitspielen. Aber lassen wir das... Ich denke nicht, das dergleichen für jemand in Eurem Forum relevant werrden könnte. Oder?
5. Professionelle Hacker
Ja, man kann natürlich auch in mein System eindringen! Aber das müssen dann schon gezielte Angriffe auf mich / mein System sein. Ich bin aber nicht die Bundesregierung, weder ein High-Tech- noch ein Versorgungs- oder Telekommuniukatins-Unternehmen und auch sonst kein wichtiges Ziel, bei dem sich ein dazu notwendiger Aufwand auch nur ansatzweise lohnt.
Leute.. wir entwicklen simple WEB-Seiten / WEB-System und medellieren ein bissl 3D-Projekte. Ich hab vor einigen Jahren mal in einem IT-Sicherheits-Seminar ( IBM-Schulungszentrum Herrenberg ) mitbekommen, was dafür an Technik, Manpower und Zeit notwendig ist....
Wenn also Putin oder Xi Jinping von mir etwas wissen wollen, dann sollen sie mir ne Mail schicken Meine eMail-Adresse dürften die dann ja auch haben :-)))
Meine Sicherheitsmaßnahmen:
1. Alle neuen Programme, die sich (aus / in der Registry) einnisten / starten wollen, müssen sich dafür vorher bei mir legitimieren. Wenn ich das ablehne, passiert nix - dann lösche ich die Datei, bevor sie sich einnisten und / oder gestartet werden kann. Fall erledigt.
Wenn ich also selbst gerade ein Programm / Update installiere, dürfte das i.d.R. ok sein - ansonten fliegts sofort raus und wird aus RAM / von Platte gelöscht.
Das kommt so ca. 3-5 mal im Jahr vor. Passiert ist seit fast 20 Jahren noch nie etwas.
2. Meine reale IP ist von außen nicht sichtbar - also kann mich auch kein Trigger, Tracer... entdecken bzw. durch IP-Zählung erreicht erreicht werden, um mir (über den Router) was einzupflanzen. Und selbst wernn: Dann greift Punkt 1.
Und selbst "wenn-wenn", dann funktioniuert das nur über Ports. Da ich aber alle Ports entweder geschlossen / blockiert habe, oder offene Ports überwache, kann da auch nix passieren. Im übrigen habe ich einige Ports "umgebogen", so dass Attacken, die bestimmte Ports benötigen (SFTP, SCP...) auf "geschlossene Türen" prallen. Sollen sie doch...
Zugegeben: Für einiges davon muß man seine eigenen WEB-server betreiben und unter Linux entspr. umbiegen können. Aber ich kann es und mache es halt.
3. Jedes Programm, dass Internettraffic erzeugt, muß sich dafür ebenfalls bei mir legitimieren. Ich kann jedem Programm (und ich meine jedes!) sagen, ob es empfangen, senden und / oder speichern darf, und kann es auch für alle Stati blocken ( http://www.winpatrol.com WinPatrol Plus und WinPatrol Firewall )
Vielleicht kennt jemand von Euch noch diese Funktion aus der guten alten "Zone-Alarm" (anno ~2000)... mehr braucht eine Firewall doch gar nicht, sofern man sich mit Ports und Netzwerken ein klein bissl auskennt.
Fazit:
########
Keine Schadsoftware - würde ich sie mir überhaupt einfangen, was ich schon für (fast) unmöglich halte! - kann zur Ausführung kommen oder gestartet werden. Wenn dergleichena also schon unabhängig und VOR Anwendungsprogrammen ( FF ), wirkt, dann kann ich auch ganz beruhigt einen alten FF verwenden (oder einen asbach uralten TB - Version 45.3. 
)
Ich habe in den letzten 5 Jahren 6 Portblocks detekiert und 18 Programme blockiert und gelöscht - was immer die auch wollten, wo immer die sich auch einnisten wollten und als was auch immer sie sich tarnten (als Registry-Schlüssel etc. pp. blablabla...). Der dollste Fall war mal ein Download an dem wohl ein Link-Virus hing: Der hat versucht die Datei-Verknüpfung alle *.pdf"-Dateien aus sich umzubiegen. Echt nicht übel die Idee... merkt kein Mensch. Das Umbiegen der PDF-Extension wurde aber detektiert und gemeldet - ich lehnt die Anfrage ab. Alles gut.
Bots, Viren, Trojaner und all das Viehzeugs: Die kommen gar nicht erst auf mein System - und falls doch, dann gar nicht erst zur Ausführung. Ohne "provokant" wirken zu wollen: Jepp - es kann gut sein, dass ich irgendetwas "an Bord" habe - klar! Dann ist das aber eine Leiche, die nichts mehr bewirkten kann. Auch egal.
Bei größeren Firmen / Netzwerken ist das Risiko natürlich ungleich größer, die Schutzfähigkeit geringer. Aber letztendlich ist die primäre Schwachstelle stets der Mensch!!!
Was nutz der beste Admin, wenn die Sachbearbeiterin Anhänge mit Schweinskram öffnet?
Disziplin ist alles! Wer es nicht einfach und bequem will (Auto-Update von FF ...), sondern es puristisch und kompetent angeht, braucht sich auch kein Kopp machen.
Nochmal: Auf allen PCs / Server meiner Unternehmen und allen PCs / Server aller Kunden ist seit ~ 15 jahren nichts passiert. Und so bleibt es auch, solange meine Sicherheitsvorgaben kontinuierlich praktiziert werden.
Ab dann habt Ihr Recht: Dann gegen mir Viren, Trojaner, Bots und all das dämliche Viehzeugs am A.... 
vorbei. Denn sie kommen entweder gar nicht durch (~90%), oder werden abgetötet (9,999%), sobald die doch durchdringen bzw. sich "bemerkbar" machen.
Und selbst wenn 0,0001% Risiko tatsächlich relevant würden: Dann baue ich mein System halt innerhalb eines Tages exakt so auzf, wie es vor der Attacke war. Meine BackUps können nicht infiziert sein.
Sicherheit ist mir Wichtigkeit und da bin ich auch besser aufgestellt als (wohl) jeder von Euch. erst recht, wsenn einer was von "Schlangenöl" quasselt. Ein alter FF oder ein uralter TB spielt dann auch überhaupt keine Rolle...
Ich werde mich jetzt ausklinken, ist ja auch meine Freizeit hier
Wer meine Maßnahmen anwenden möchte und eigene WEB-Server betreiben kann ( als Hoster und als Provider), kann sich ebenso soicher fühlen - vorausgesetzt er surft min. so diszipliiert wie wir.
Nichts für ungut!
Beste Grüße - und NOCHMALS vielen Dank für die schnelle Hilfen, Tipps und Links !!!!!
