Frühjahrsputz: Ist Antivirus wirklich tot?
In den vergangenen Wochen haben wir uns Desktop-, Mobile- und Serversysteme angeschaut, sie aufgeräumt, die Performance optimiert und sie abgesichert. Heute möchten wir auf die Ausgangslage unserer Frühjahrsputz-Serie schauen und prüfen, ob diese nach wie vor Bestand hat: wie sinnvoll oder sinnlos ist Antivirus?
Ist Antivirus wirklich tot?
In unserem Frühjahrsputz war es unser Ziel, die verschiedenen Systeme auch auf ihre Sicherheits-Bordmittel zu überprüfen. Systeme wie Windows 10 bringen eine Sicherheitssuite gleich von Haus aus mit, bei anderen Systemen wie Ubuntu streiten sich sogar Experten, inwieweit Antiviren-Lösungen sinnvoll sind.
Ausgangspunkt unserer Serie war eine Aussage von Brian Dye, seines Zeichens Executive Vice President bei McAfee: Kommerzielle Antiviren-Lösungen seien tot, sagte Dye, Hacker würden mit oder ohne Security-Lösungen Wege ins System finden. Nichtsdestotrotz sei der Kampf gegen Malware weiterhin lohnenswert. Die hat sich im Laufe der vergangenen Jahre jedoch geändert. Von Ransomware sprach im Jahre 2014/ 2015 kaum jemand.
Robert O’Callahan hat im Januar 2017 ins selbe Horn geblasen wie Dye: Der ehemalige Mozilla-Entwickler misstraut Antiviren-Software grundsätzlich, wobei Microsoft mit Defender in Windows gute Arbeit geleistet hätte, bloggt O’Callahan.
Alles nur „snake oil“?
Mit dem Begriff „snake oil“ oder „Schlangenöl“ bezeichnet man Produkte, die entweder nur geringe oder gar keine Funktionen haben. Der Zeit, die wir heute gerne als „Wilden Westen“ bezeichnen, entspringt der Begriff: Wunderheiler zogen mit dem „Schlangenöl“ als Allheilmittel durch die Lande und verkauften das Wundermittel für so ziemlich alles – natürlich für ein stattliches Sümmchen.
Als snake oil bezeichnen einige wie Dye, O’Callahan oder andere Antivirus-Lösungen. Wären die Produkte grundsätzlich nur wirkungslos, wäre dies durchaus ein Fortschritt. Im Moment jedoch sind in beeindruckender Regelmäßigkeit immer wieder Schlagzeilen zu lesen, in denen Security-Software durch eigene Lücken und kritische Fehler für zusätzliche Risiken sorgen.
Also verhindert Antivirus sogar Sicherheit?
O’Callahan ist überzeugt, dass andere Entwicklungen, etwa Browser, durch invasiven und schlecht implementierten Code unsicherer gemacht werden. Er bringt ein Beispiel aus der Firefox-Entwicklung: Mozilla hatte in Firefox ziemlich zügig die ASLR („Address Space Layout Randomization„) implementiert. Dieses Sicherheitsfeature soll Schadsoftware die Arbeit wesentlich erschweren.
Jedoch führte das schnelle Implementieren letztlich dazu, dass unterschiedliche Antivirus-Produkte ASLR durch eigene DLL unterbunden haben. Dazu muss man bedenken, dass sich eine Antivirus-Lösung ähnlich verhalten kann wie Schadsoftware: Sie hängen sich an sämtliche Prozesse, versuchen, alles mitzubekommen, was im System passiert. Offenbar war es einfacher, dies zu erreichen, indem man ASLR unterdrückte, anstatt sich anzupassen.
O’Callahan berichtet auch davon, dass Antivirus-Software das Einspielen wichtiger Updates für Firefox verhindert habe. Gerade bei Sicherheitsupdates ist dies denkbar schlecht!
Selbstschutz von AV wird jedoch besser
Diese Kritiken an Antivirus-Software bleiben natürlich nicht verborgen. Und so haben sich die Antiviren-Experten von AV-Test im November 2014 drangemacht, die Selbstschutz-Verfahren verschiedener Antiviren-Lösungen zu überprüfen. Das Ergebnis war mehr als ernüchternd: In diversen Virenscannern wurden Sicherheitslücken gefunden, die den zu schützenden Rechner zusätzlich gefährdeten. ASLR und DEP („Data Execution Prevention“) wurde von nur zwei Herstellern umgesetzt. Viele andere Entwickler sicherten ihre Software nur teilweise mit den Verfahren ab.
Daran hat sich vieles geändert. Erst Anfang Mai 2017 nahm AV-Test erneut 19 Consumer-AV-Produkte und 13 Unternehmenslösungen unter die Lupe. 16 Programme nutzen vollständig ASLR und DEP. Eine Software, bei der die Verfahren nur etwas mehr als ein Drittel der Softwarekomponenten abdecken, bildet das Schlusslicht im Test. Auch zeigten die Codes der Anwendungen, dass Entwickler zumeist zusätzlich auf Code-Signing setzen. Dies verhindert die Ausführung nicht signierter Codes.
Das Expertenteam schaute sich auch die Verteilungskanäle für die AV-Software an. Firmenlösungen sind kaum per Direkt-Download zu bekommen. Jedoch offeriert nahezu jeder Hersteller Testsuiten für Privatkunden. Ernüchternd fällt jedoch die Kontrolle des Downloads aus: Von 19 Herstellen bieten sagenhafte 13 Entwickler die Testversionen über eine unsichere HTTP-Verbindung an. HTTPS wird ausschließlich bei den Testversionen von Avira, ESET, Bitdefender, F-Secure, Kaspersky Lab und G Data angeboten.
Drei wirklich gute Anbieter
AV-Test hat drei verschiedene Teststufen: Das Nutzen von ASLR und DEP, das Signieren der Programmdateien und die Software-Verteilung über (un-)gesicherte Kanäle. Nur bei drei Herstellern zeigten sich die Experten von AV-Test in allen Punkten zufrieden: „Bitdefender, ESET und Kaspersky Lab nutzen zu 100 Prozent ASLR & DEP, signieren alle PE-Dateien mit gültigen Zertifikaten und bieten sichere Downloads an“, erklären die Autoren von AV-Test.
Potenzial lauert allerdings auch in den anderen getesteten Antivirus-Programmen. „Bei vielen Anbietern fehlt nur noch etwas Feinschliff und sie stehen auch perfekt da“, lautet das Fazit der Tester.
Antivirus ist nicht tot, muss nur umdenken
Ja: es gibt viele Hersteller von Antivirus-Lösungen, die durch eigene Nachlässigkeit die Rechner, die sie eigentlich schützen sollten, unsicherer machen. Deshalb jedoch auf einen Schutz zu verzichten, wäre absolut fatal. Windows wird zweifelsfrei bis heute am häufigsten angegriffen. Aber auch Linux, macOS, die Serversysteme und die Mobile-Systeme iOS und insbesondere Android müssen geschützt werden. Vor allem durch die Serversysteme werden immens viele Daten geschleust – dass hier mindestens ein Malware-Scanner eingesetzt werden muss, dürfte niemand bestreiten.
Einen Hauch Ironie trägt die Tatsache in sich, dass McAffee, Arbeitgeber von Brian Dye, mit zu denen zählt, die ASLR und DEP laut AV-Test nicht konsequent genug nutzen. Gut zu wissen ist es jedoch, dass die meisten Schutzprodukte eine hohe Erkennungsrate haben. Das allein reicht jedoch nicht. Einige Hersteller müssen es noch verstehen – und umsetzen, dass die Schutzsuiten als Pakete im Ganzen stimmig sein müssen, um Anwender zu schützen.
Zusätzlicher Schutz zu Antivirus: der gesunde Menschenverstand
Jedoch kommt noch etwas zu einem perfekten Schutz hinzu: der gesunde Menschenverstand. Achten Sie auf die Schutzsignale, die Ihnen Ihr Browser liefert. Unsere Serie zur Browsersicherheit gibt Ihnen diesbezüglich Informationen. Mit den folgenden vier Tipps schützen Sie sich selbst nicht nur vor herkömmlicher Schadsoftware, sondern auch vor Ransomware:
- Öffnen Sie keine Dateianhänge von unbekannten Absendern und seien Sie auch bei bekannten Absendern vorsichtig. Prüfen Sie erst den E-Mail-Inhalt und wenn dieser keinen Sinn ergibt, öffnen Sie den Anhang nicht!
- Verhindern Sie auch das automatische Ausführen von Office-Makros. Wie Sie sich schützen können, erfahren Sie in unserem Beitrag „Rückkehr der Makroviren„.
- Updaten Sie regelmäßig Ihre Software, insbesondere Ihr Betriebssystem und Ihre Antivirus-Lösung. Hier sind auch manuelle Updates möglich. Womöglich hat der Hersteller Ihrer Suite bereits eine neue Erkennungsroutine implementiert. Auch die Systemüberprüfung Ihrer Suite wenden Sie bitte in regelmäßigen Abständen an.
- Einer der wichtigsten Tipps in Zeiten von Ransomware und anderen Bedrohungen ist zweifellos das Backup. Sichern Sie Ihre Daten regelmäßig, idealerweise auf einem externen Medium. Sollten die Daten Ihres Rechners verschlüsselt werden, kommen Sie an das externe Speichermedium mit Ihrem Backup dennoch heran. Sinnvoll ist es, die gesicherten Daten zu ihrem Schutze zusätzlich zu verschlüsseln und diese an einem sicheren Ort aufzubewahren. Idealerweise verwenden Sie zwei separate Speichermedien fürs Backup, die Sie im Wechsel überschreiben.
Dem Thema Antivirus bleiben wir auch in unserer nächsten Serie treu, in der wir Malware-/Virenscanner testen. Freuen Sie sich auf nächste Woche, wenn wir die Serie starten. Haben Sie Fragen oder Anregungen zum Thema, freuen wir uns wie immer über Ihre Kommentare!
Schreibe einen Kommentar