Antivirus-Software ist tot? Klar, schon seit langem!
Antivirus-Software, Virenscanner, Antiviren - egal wie man sie nennt, wirklich funktioniert haben sie schon seit langem nicht mehr richtig. Das hatte ich zum Beispiel schon 2011 geschrieben, und selbst damals war das schon ein alter Hut. Neu ist, dass sogar die Hersteller der AV-Software inzwischen gemerkt haben, dass sie hinter den Cyberkriminellen her hecheln wie der Hase hinter dem Igel im Märchen vom Wettrennen zwischen den beiden. Oder zumindest einer hat es gemerkt - Symantec. Jedenfalls teilweise.
AV-Software ist auch für Symantec nicht wirklich tot
Werfen wir mal einen Blick auf die Aussage, die überall für Aufruhr gesorgt hat. Sie stammt von Brian Dye, Symantecs "Senior Vice President for Information Security" und steht auf der Website des Wall Street Journal:
"Antivirus "is dead," says Brian Dye, Symantec's senior vice president for information security. "We don't think of antivirus as a moneymaker in any way.""
Antivirus-Software ist also nicht wirklich tot, Symantec verdient nur nicht mehr so viel Geld damit wie früher. Was durchaus auch an der sprichwörtlichen Qualität der Symantec-Software liegen könnte. Aber lassen wir das. Etwas später im Text folgt dann eine Aussage, die ich viel bemerkenswerter als "Antivirus is dead" halte: Die Feststellung, dass die Virenscanner vermutlich nur 45% der Angriffe erkennen.
"Mr. Dye estimates antivirus now catches just 45% of cyberattacks."
Schön, dass es endlich mal einer der AV-Hersteller zugibt. Interessant wäre jetzt noch die Information, wann die Angriffe erkannt werden. Sofort beim ersten Auftreten der Schädlinge? Oder erst nach einigen Tagen, wenn die Schädlinge womöglich bereits zig Tausend Rechner infiziert haben?
Andererseits: Eigentlich ist das auch egal - weniger als die Hälfte der Angriffe werden von den Virenscannern (oder zumindest von Symantecs Produkten) erkannt. Oder anders rum: Mehr als die Hälfte der Angriffe werden nicht erkannt. Also hat man weniger als eine 50:50-Chance dass ein Angriff erkannt wird. Überspitzt formuliert: Wenn man eine Münze wirft bevor man eine Aktion am Rechner ausführt oder nicht ausführt (zum Beispiel eine Website ansurft oder eine Datei öffnet), wäre man also sicherer als wenn man sich auf den Virenscanner verlässt. Toll, oder?
Symantec will sich jedenfalls nicht mehr auf das Erkennen von Schadsoftware konzentrieren, sondern stattdessen seine Kunden beim Erkennen und Abwehren von Angriffen unterstützen. Was andere Unternehmen wie zum Beispiel FireEye bereits seit längerem tun. Die dabei ja bereits etliche 0-Day-Exploits entdeckt haben. Die man bei Symantec und Co. eben nicht erkannt hat. Da will wohl jemand auf einen fahrenden Zug aufspringen.
Ein kleiner (etwas unfairer?) Test
Man soll Virustotal und Co. bekanntlich nicht verwenden, um die Erkennungsleistung der Virenscanner zu testen. Denn die beruht nicht mehr nur auf der einfachen Signaturerkennung bekannter Schädlinge, wie sie bei Virustotal und Co. durchgeführt wird, sondern auch auf der Beobachtung des auf den Rechnern ausgeführten Codes. Und ein von der Verhaltensanalyse eines Scanners im normalen Betrieb erkannter neuer oder geänderter Schädling wird von der Signaturprüfung des gleichen Scanners auf Virustotal dann eben gerade nicht erkannt. Würde man nur das Virustotal-Ergebnis verwenden, sähe es so aus, als würde der Schädling nicht erkannt, obwohl er im normalen Betrieb durchaus bemerkt würde.
Man sollte aber davon ausgehen, dass auch diese neuen Schädlinge früher oder später auch anhand ihre Signatur erkannt werden, oder? Immerhin werden die Signaturdatenbanken ja regelmäßig aktualisiert, und das wäre ja nicht nötig, wenn sie nicht laufend um neu erkannte Schädlinge ergänzt würden.
Ich mache ab und zu einen kleinen Test und werfe Virustotal die Schädlinge vor, mit denen die Cyberkriminellen freundlicherweise immer mal wieder meine Mailbox füttern. Kurz nachdem ich die Mails aus dem Spamfilter gefischt habe ist die Erkennungsrate meist extrem schlecht. Einige wenige Scanner erkennen die Schädlinge mit generischen Mustern, alle anderen gar nicht. Nach ein paar Tagen bessert sich das dann, aber oft genug erkennen auch nach einer Woche die Hälfte oder noch mehr Scanner die dann ja eigentlich schon "uralten" Schädlinge nicht anhand ihrer Signatur. Das gibt einen dann doch zu denken, oder? Es kann ja sein, dass diese Scanner den ausgeführten Schädling erkennen würden, aber besonders beruhigend ist das Ergebnis nicht.
Symantecs Ansatz ist gefährlich
Symantecs Ansatz ist aber nicht ungefährlich. Zumindest nicht für einen Teil der (potentiellen) Opfer. Das sagt Brian Dye sogar indirekt auf der Website des Wall Street Journal selbst:
""What do we do with all the things that we're 60% sure are a problem?" Mr. Dye says. Analysts say Symantec's software runs on so many machines that it may be able provide more guidance on which hackers can be ignored and which are truly a problem."
Angriffe darf man niemals ignorieren. Sonst fällt man ihnen irgendwann zum Opfer. Oder andere. Aber Symantec (und alle anderen Unternehmen) interessieren natürlich nur die eigenen zahlenden Kunden. Solange die nicht gefährdet sind, kann man die Angriffe dann getrost ignorieren? Oder wie soll ich das sonst verstehen?
Es geht auch ohne Virenscanner
Wie Sie ihren Rechner auch ohne Antivirus-Software sicher betreiben können, habe ich hier beschrieben.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Schutz ohne Antivirus-Software ist möglich
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Exploit oder 0-Day-Schwachstelle - was ist denn da der Unterschied?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?
Vorschau anzeigen