Skip to content

Virenscanner und Co. - Pro und Contra

Geschrieben von Carsten Eilers am um 14:12

Virenscanner oder Antivirenprogramme oder wie auch immer man sie nennen will sind nicht unumstritten. Für manche nutzloses Schlangenöl, für andere ein Allheilmittel zur Abwehr von Angriffen, für noch andere sogar eine Gefahr für den eigenen Rechner... und dann wird erst gemeldet, dass zumindest die Programme für Mac OS X eine Infektion nicht verhindern, und dann wird einer (Update 6.5.: und noch einer) der Hersteller auch noch dabei erwischt, dass er in Produkttests trickst (um mal das harte "Betrügen" zu vermeiden). Na, zumindest der eine scheint es ja nötig zu haben, also taugen die ja wohl alle nichts, oder?

Virenscanner sind wirkungslos?

Fangen wir mit der schon in der vorigen Woche kommentierten Meldung an, dass sich die Schutzprogramme auf dem Mac umgehen lassen. Erst mal dürfte das nicht nur für den Mac gelten, sondern auch für Windows und Linux. Und allgemein für jedes nicht entsprechend gehärtete System/Programm. Wo ein Wille ist, ist auch ein Weg.

Ich habe Virenscanner und Co. ja schon 2011 mit einer "Digitalen Schutzimpfung" verglichen. Die sind sehr gut darin, die ihnen bekannten Schädlinge zu erkennen. Sofern die nicht manipuliert wurden, um diese Erkennung zu unterlaufen. Bei der Erkennung neuer Angriffe wird es dann schon schwieriger, selbst mit Cloudansätzen und noch so ausgefeilten lokalen Tests wird sich immer ein Weg finden, den Schutz zu unterlaufen.

Dass die Hersteller trotzdem immer wieder Rekorde an neu entdeckten Schädlingen melden hat zwei ganz einfache Gründe:

  1. Die neuen Schädlinge werden nicht alle sofort bei ihrem Auftauchen auf den Benutzerrechnern erkannt.
    Verdächtige Dateien werden ja nicht nur von den Programmen auf den Rechnern der Benutzer und in der Cloud untersucht, sondern auch in den Laboren der AV-Hersteller. Dabei werden dann natürlich irgendwann auch die Schädlinge gefunden, die sich auf den Benutzerrechnern erfolgreich vor den AV-Programmen verbergen. Danach werden diese Schädlinge dann anhand ihrer Signatur etc. auch auf den Benutzerrechnern erkannt, aber bis es so weit ist haben sie im Zweifelsfall bereits reichlich Schaden angerichtet.
  2. Den Cyberkriminellen ist es schlicht schnurzpiepegal, ob ihre Schädlinge etwas früher erkannt werden oder etwas später.
    Das ist ein Massengeschäft, so lange die Cyberkriminellen mit ihren bisherigen Schädlingen genug Gewinn machen, besteht einfach kein Grund, zusätzliches Geld in die Entwicklung besserer Angriffe zu stecken. Ganz im Gegenteil, es wäre sogar kontraproduktiv. Warum sollten die Cyberkriminellen jetzt schon verraten, wie sie die Schutzmaßnahmen unterlaufen wollen, wenn es doch noch gar nicht nötig ist? Das würde den AV-Herstellern ja nur helfen, ihre Programme an die besseren Angriffe anzupassen und die aufzudecken.

Dass das Unterlaufen der Schutzprogramm möglich ist beweist eine andere Klasse von Angriffen: Die Advanced Persistent Threats, die speziell auf die Angriffsziele angepasst sind und dadurch nur schwer zu stoppen sind. Aber diesen Angriffen sind normale Benutzer zumindest bisher nicht ausgesetzt. Dafür werden die mit Schädlingen von der virtuellen Stange bombardiert, und die erkennen die Virenscanner natürlich in den meisten Fällen. Falls da dann mal ein 0-Day-Exploit dabei ist, der nicht an recycelten Komponenten oder durch sein ungeschicktes Verhalten erkannt wird, hat das Opfer halt Pech gehabt.

Ach ja: Die Virenscanner erkennen natürlich nur einen Teil der Angriffe, eben die durch Schadsoftware. Angriffe auf zum Beispiel die Authentifizierung eines Remote-Zugangs können sie nicht erkennen.

Virenscanner sind gefährlich?

Virenscanner fallen immer wieder negativ auf, weil sie übers Ziel hinaus schießen und nützliche Programme oder sogar wichtige Systemkomponenten als angebliche Schadsoftware erkennen und aus dem Verkehr ziehen - und damit Programme oder gleich den ganzen Rechner lahm legen. Man sollte meinen, dass die Hersteller alles tun, um solche False Positives zu verhindern, aber da es sie immer wieder gibt, tun sie wohl nicht genug.

Schon dieses Fehlverhalten der AV-Programme ist gefährlich. Ich habe mir mal die Suche nach Beispielen gespart, davon gibt es reichlich und Sie werden bestimmt auch schon von welchen gehört haben oder ihnen sogar selbst zum Opfer gefallen sein. Noch gefährlicher wird es, wenn die AV-Programme selbst Schwachstellen enthalten und damit zum Einfallstor für Angreifer werden. Schwachstellen gab es bereits reichlich, an Angriffe kann ich mich jetzt nicht erinnern. Ich glaube, es gab bisher keine. Was daran liegen dürfte, dass die Virenscanner als Einfallstor für die Cyberkriminellen uninteressant sind - es gibt zu viele verschiedene davon.

Warum sollten die Cyberkriminellen eine Schwachstelle in einem Virenscanner auf einem Bruchteil aller Windows-Rechner angreifen, so lange sie genug Schwachstellen in Windows, Internet Explorer, Flash Player, Adobe Reader und Microsoft Office finden? Mit Angriffen darauf erreichen sie mehr oder weniger jeden Windows-Rechner, und wie schon erwähnt, das ist ein Massengeschäft.

Und nun?

Fassen wir mal zusammen. Los geht es mit den Minuspunkten:

  • (-) Virenscanner können umgangen werden
  • (-) Virenscanner erkennen nur einen mehr oder weniger großen Teil der Schadsoftware, gegen manche Angriffe sind sie sogar komplett wirkungslos
  • (-) Virenscanner können das System oder Programme lahm legen
  • (-) Virenscanner stellen unnötige Angriffsflächen dar

Und wie sieht es mit Pluspunkten aus?

  • (+) Virenscanner erkennen einen mehr oder weniger großen Teil der Schadsoftware - und das sind die Angriffe, denen die meisten Benutzer ausgesetzt sind.
  • ... und mehr fällt mir auch nicht ein ...

Insgesamt spricht also mehr gegen als für die AV-Programme. Wenn man dann noch hinzu rechnet, dass sie ein falsche Sicherheitsgefühl vermitteln ("Mein Virenscanner wird mich schon vor allem Bösen beschützen") wird es noch schwieriger, Argumente für sie zu finden.

Also lässt man sie weg? Und dann? Betrachten wir mal die verschiedenen Angriffe:

  • Vor Drive-by-Infektionen schützt die Verwendung aktueller Software - wo es keine ausnutzbaren Schwachstellen gibt, laufen die Angriffe ins Leere. Damit bleibt die Gefahr von Angriffen auf bisher nicht gepatchte Schwachstellen. Also zum einen auf die, deren Patch man noch nicht installiert hat. Diese Angriffe sollte ein aktueller Virenscanner erkennen. Und zum anderen Angriffe auf Schwachstellen, für die noch kein Patch veröffentlicht wurde. Vor diesen Angriffen mit 0-Day-Exploits bieten die Virenscanner auch keinen wirklich zuverlässigen Schutz. Ein Virenscanner überbrückt als im allgemeinen nur die Zeit
  • Vor von Haus aus bösartiger oder manipulierter ursprünglich harmloser Software schützt "Hirn 1.0" - so lange man nur unveränderte Software aus vertrauenswürdigen Quellen installiert ist die Gefahr, sich darüber Schadfunktionen einzufangen, recht gering. Außerdem darf man natürlich nur die Software installieren, die man wirklich benötigt, und nichts, was einem gerade aufgeschwatzt werden soll.
  • Vor Angriffen mit manipulierten Dateien (egal ob Word-Dokument, PDF, Bild oder was auch immer) schützt die Verwendung aktueller Software und der vorsichtige Umgang mit Dateien. Unverlangt per Mail zugesandte Word-Dokumente oder PDFs darf man nicht öffnen. Und beim Herunterladen von Dateien muss man eben auch aufpassen, von wo man lädt.

Aber was ist mit infizierten Dateien aus zuverlässigen Quellen, zum Beispiel Word-Dokumente von Freunden, deren Rechner mit einem der gerade wieder in Mode kommenden Makro-Schädlingen infiziert ist? Makros ausschalten ist eine Möglichkeit, aber was ist, wenn man die braucht? Dann bietet höchstens ein aktueller Virenscanner Schutz, der den Schädling erkennt. Wenn nicht... hat man ein Problem

Hilft das weiter? Nicht? Wie wäre es mit einem anderen Ansatz:

Ganz stark vereinfacht kann man sagen, dass die Virenscanner vor einem Teil der im Internet vorhandenen bösartigen Dateien schützen. Und vor einem Teil nicht. Die entscheidende Frage ist also: Welchen bösartigen Dateien begegnet man selbst? Sind es...

  • ... Dateien, vor denen man sich selbst schützen kann?
    Dann braucht man keinen Virenscanner.
  • ... Dateien, vor denen man sich selbst nicht schützen kann?
    • Schützt der Virenscanner davor? Dann braucht man einen.
    • Oder schützt er nicht davor? Dann braucht man ihn auch nicht.

So, wollen Sie jetzt einen Virenscanner verwenden oder nicht?

Egal wie Sie sich letztlich entscheiden - wiegen Sie sich nicht in falscher Sicherheit! Weder schützt ein installierter Virenscanner vor allen Angriffen, noch tun es andere Schutzmaßnahmen wie "Hirn 1.0" oder aktuelle Software. Irgendwo bleibt immer eine Lücke. Und Sie wissen ja: Wenn es darum geht, so was zum maximalen Schaden zu verwerten, ist der Herr Murphy immer zur Stelle!

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Grafikkarten-Malware, Metadaten, NSA - Neues zu alten Artikeln

Vorschau anzeigen
Es gibt Neuigkeiten zu einigen älteren Artikeln. Diesmal (nicht nur) gedruckten, aus dem Windows Developer und Entwickler Magazin. Und ausnahmsweise sind die Neuigkeiten mal nicht nur schlecht! Angriffsziel Grafikkarte - Ein Rootkit und ein

Dipl.-Inform. Carsten Eilers am : Neues zu Schad- und Antivirus-Software. Mehr Schlechtes als Gutes

Vorschau anzeigen
Es gibt mal wieder Neuigkeiten zu Schadsoftware und Virenscannern. Sowohl Pro als auch Contra, wenn auch die negativen Meldungen überwiegen. Mehr Negatives als Positives... (+) Es wurde mal wieder ein Ad-Network kompromittiert, um &uu