Windows ist ein Betriebssystem für PCs. Sein Vorgänger war MS-DOS, welches rein textbasiert war. Irgendwann kam Xerox dann auf den Trichter, eine grafische Bedienoberfläche zu machen, Apple kopierte die Idee erfolgreich und IBM und Microsoft wollten nicht den Anschluss verlieren, also kam Windows. Zuerst als Aufsatz für MS-DOS, dann als eigenständiges Betriebssystem.
PC ist streng genommen nicht das gleiche wie Computer, sondern es ist eine bestimmte Art von Computer, welche seinerzeit von IBM als billige Computer für Heimanwender entwickelt wurden. Zur damaligen Zeit war Vernetzung überhaupt kein Thema. Das war zu einer Ära, als viele "Experten" noch der Ansicht waren, dass die meisten Leute überhaupt keinen Grund hätten, sich jemals einen eigenen Computer anzuschaffen. Was du heute hast, dass Leute einen PC und ein Tablet und ein Smartphone und eine Spielkonsole und fünf "smarte" Heimgeräte im Haus haben (das sind letztlich alles Computer), die dann alle miteinander und mit dem Rest der Welt in Verbindung stehen müssen, war für die unvorstellbar. Der IBM-PC war ursprünglich gedacht als ein einzelner, isoliert für sich stehender Computer, an dem ein sehr beschränkter, vertrauenswürdiger Personenkreis arbeitet (z.B. der Papa und vielleicht noch Sohnemann und Töchterchen für ein paar Spiele).
Daher hatte der PC keine Netzwerkfunktion und sein Betriebssystem (damals noch MS-DOS) sah keine Möglichkeit vor, verschiedene Benutzer systematisch voneinander abzugrenzen. Was man so Rechteverwaltung nennt. Dass der eine Sachen machen darf, die der andere nicht darf. Was - in den meisten Fällen - verhindert hat, dass Söhnchen die Festplatte formatiert, war nicht das Rechtesystem von MS-DOS, sondern die Tracht Prügel, die er sich dafür vom Vater eingefangen hätte. Es bestand kein Grund für die Annahme, dass jemand mit bösen Absichten jemals auf realistische Weise Zugriff auf den PC erlangen könnte. Jedenfalls nicht im großen Maßstab. Also hat es auch keine Schutzmechanismen dafür gegeben.
Vernetzung von Computern war anderswo ein Thema. In großen Firmen mit vielen Mitarbeitern, Regierungsinstitutionen und Universitäten. Da bestand echter Bedarf daran, dass Informationen schnell und effizient ausgetauscht werden konnten. Und es gab so viele verschiedene Leute, die mit den Computern arbeiteten, dass auch schnell ein Interesse daran bestand, verschiedene Informationen vor verschiedenen Leuten zu schützen. Manche Sachen waren so wichtig, dass sie nicht jeder einfach so einsehen (Lesezugriff) oder gar kaputt machen (Schreibzugriff) können sollte. Und dann wollte man auch Informationen austauschen mit anderen Universitäten oder Behörden und so wurden dann die lokalen Uni-Netze nach und nach miteinander verbunden. Daraus wurde dann später das Internet, wie wir es heute kennen.
In diesen Marktsegmenten kamen aber keine PCs zum Einsatz. Dort hatte man andere, "professionellere" und damit auch teurere Computer im Einsatz. Die dann auch andere Betriebssysteme verwendeten. Statt MS-DOS kam eben vielerorts Unix zum Einsatz. Also hatte Unix dann auch sehr früh mit einem Umfeld zu tun, in dem man nicht jedem vertrauen konnte und in dem die Verantwortlichen erwarteten, dass es die ihm anvertrauten Informationen dann auch beschützte. Entsprechend verfügte Unix sehr früh Netzwerkfunktionen, Rechteverwaltung und Schutzmechanismen gegen Angriffe aus einem Netz, in dem man nicht jedem vertrauen konnte. Beispielsweise hat man den Leuten immer nur die Rechte gewährt, die sie wirklich brauchten, um ihre Arbeit zu machen. Vollzugriff gab's nicht für jeden.
Als PCs sich dann langsam immer weiter verbreiteten und auch in Firmen Einzug hielten, weil sie eine preiswerte Alternative zu anderen, professionelleren Computern waren, da kam langsam das Bedürfnis auf, die Dinger vernetzen zu können. In einer Firma mit 10 oder 20 PCs, da sollten die gemeinsam Daten austauschen und auf einem Server ablegen können. Aber auch da bestand kein Bedarf an echten Schutzmechanismen. Die PCs waren quasi intelligentere Schreibmaschinen und die früher verwendeten Schreibmaschinen hatten ja auch kein Sicherheitsschloss. Und das lokale Netzwerk (LAN) war vertrauenswürdig. Das war alles im selben Gebäude, von der selben Firma und wurde von Leuten bedient, die sich gegenseitig kannten. Wer wirklich Schaden anrichten wollte und Zugang hatte, konnte das einfacher haben als die PCs anzugreifen.
Erst so Ende der 90er, als das Internet langsam zu einem Netz für Jedermann wurde, da sollte dann auch der Heim-PC daran angebunden werden. Und nun sollte Windows, welches MS-DOS inzwischen beerbt hatte, auf einmal ins Internet. Und MS stand vor dem Problem, dass das System dafür niemals ausgelegt gewesen war. Es komplett auf die neuen Anforderungen umzuändern, hätte bedeutet, dass viele alte Dinge, die die Kunden gewohnt waren, nicht mehr funktioniert hätten. Also musste man irgendwie Internet und Abwärtskompatibilität unter einen Hut bringen. Was man gerade am Anfang dadurch gemacht hat, dass man einfach das Internet einführte, ohne sich irgendwelche Gedanken um Schutzmechanismen zu machen. Es ging immer noch alles, was vorher ging, und Internet gab's obendrauf. Das verkaufte sich gut.
Dann waren immer mehr PCs im Internet. Und immer mehr Leute benutzten das Internet und da waren dann eben auch immer mehr... moralisch weniger gefestigte Leute dabei. Entsprechend nahm die Zahl der Angriffe auf PCs via Internet zu. Da MS keinen Schutz in Windows eingebaut hatte, sahen andere Software-Entwickler ihre Chance und sprangen mit eigenen Produkten ein. Personal Firewalls und Virenscanner, vornehmlich. Das Problem war aber immer, dass diese Sachen nicht die systemischen Probleme lösten, sondern nur nachträgliches Flickwerk waren.
Irgendwann fing Microsoft dann an, sich mal tatsächlich über Schutzmechanismen im Betriebssystem selbst Gedanken zu machen. Windows NT kannte z.B. auf einmal Benutzerrechte. Die aber kaum einer benutzte, da die Softwarebranche es gewohnt war, stets vollen Zugriff auf alles zu haben. Bei XP wurde mit dem (IIRC) zweiten Servicepack ein eigener Paketfilter (aka "Firewall") eingeführt. Mit Vista kam die UAC, die das Problem lösen sollte, dass viele Leute weiterhin mit Administratorrechten (also Vollzugriff) arbeiteten, weil ihre Software sonst rumzickte. Das war dann der Flicken, der zumindest die wichtigsten Teile von Windows absichern sollte, selbst wenn jemand als Admin Mist baute. Und so weiter, und so fort.
Und im Grunde ist das die Situation, in der wir uns heute befinden. Windows krankt immer noch daran, dass es nie für den Betrieb im Internet entwickelt wurde. Es gibt heute noch Software, die Vollzugriff braucht und viele Windows-Anwender gucken heute noch verwirrt drein, wenn du ihnen was von Benutzerkonten und Rechtetrennung erzählst. Viele Sicherheitsfunktionen, die Windows zugegebenermaßen inzwischen hat, werden nicht oder nicht konsequent genutzt. Und daraus hat sich auch der Leitsatz "Du musst einen Virenscanner haben!" entwickelt. Weil Windows alleine dich nicht ordentlich schützen kann. Historisch korrekt, inzwischen nicht mehr so ganz zutreffend.
Denn einerseits hat Windows auch immer noch einige Defizite (bei denen aber Uneinigkeit darüber herrscht, ob ein Virenscanner die ausbügeln kann), andererseits hat Windows aber tatsächlich inzwischen doch einige und durchaus brauchbare Schutzmechanismen. Die benutzt nur kaum jemand, weil es Aufwand ist, sich in die einzuarbeiten und man ja gesagt kriegt, dass man mit dem Flicken namens Virenscanner genau so sicher ist. Und andere Betriebssysteme hatten nie die systemischen Probleme, die Windows in dieser Hinsicht plagten oder haben sie schon Jahrzehnte früher abgelegt. Beispielsweise ist das Betriebssystem "Linux" (vielleicht schon mal davon gehört) letztlich nur ein Unix für PCs. Und wie weiter oben erzählt, ist Unix schon sehr lange imstande, mit den Bedrohungen im Netz umzugehen. Linux war das Unix, das Linus Torvalds in den 90ern entwickelt hatte und aus Linus und Unix bildete er dann den Namen Linux.
Und wenn man sich heute beispielsweise die Viren für Linux und Windows anguckt, stellt man fest, dass Linux-Viren praktisch irrelevant sind. Es gibt welche, aber sie kommen in der Praxis kaum vor. Und die, die wirklich praxisrelevant sind, sind auf Server mit Linux zugeschnitten, nicht auf normale Arbeitsrechner. Die meisten Leute denken, das wäre nur aufgrund der geringeren Marktanteile von Linux. Das ist sicherlich auch teilweise richtig. Es lohnt sich einfach eher, Viren für Windows zu schreiben. Aber es ist nicht die ganze Wahrheit. Selbst wenn die Verhältnisse umgedreht wären und Linux den Markt dominieren würde, hätte es - auch heute noch - so einige konzeptionelle Vorteile gegenüber Windows, die es inhärent sicherer machen würden. Defacto sind Virenscanner unter Linux nur dazu gut, um nach Windows-Viren zu suchen.