In den vergangenen Wochen haben wir uns Desktop-, Mobile- und Serversysteme angeschaut, sie aufger\u00e4umt, die Performance optimiert und sie abgesichert. Heute m\u00f6chten wir auf die Ausgangslage unserer Fr\u00fchjahrsputz-Serie schauen und pr\u00fcfen, ob diese nach wie vor Bestand hat: wie sinnvoll oder sinnlos ist Antivirus?<\/p>\n
In unserem Fr\u00fchjahrsputz<\/a> war es unser Ziel, die verschiedenen Systeme auch auf ihre Sicherheits-Bordmittel zu \u00fcberpr\u00fcfen. Systeme wie Windows 10 bringen eine Sicherheitssuite gleich von Haus aus mit, bei anderen Systemen wie Ubuntu streiten sich sogar Experten, inwieweit Antiviren-L\u00f6sungen sinnvoll sind.<\/p>\n Ausgangspunkt unserer Serie war eine Aussage von Brian Dye, seines Zeichens Executive Vice President bei McAfee: Kommerzielle Antiviren-L\u00f6sungen seien tot<\/a>, sagte Dye, Hacker w\u00fcrden mit oder ohne Security-L\u00f6sungen Wege ins System finden. Nichtsdestotrotz sei der Kampf gegen Malware weiterhin lohnenswert. Die hat sich im Laufe der vergangenen Jahre jedoch ge\u00e4ndert. Von Ransomware sprach im Jahre 2014\/ 2015 kaum jemand.<\/p>\n Robert O’Callahan hat im Januar 2017 ins selbe Horn geblasen wie Dye: Der ehemalige Mozilla-Entwickler misstraut Antiviren-Software grunds\u00e4tzlich, wobei Microsoft mit Defender in Windows gute Arbeit geleistet h\u00e4tte, bloggt O’Callahan<\/a>.<\/p>\n Mit dem Begriff „snake oil“ oder „Schlangen\u00f6l“ bezeichnet man Produkte, die entweder nur geringe oder gar keine Funktionen haben. Der Zeit, die wir heute gerne als „Wilden Westen“ bezeichnen, entspringt der Begriff: Wunderheiler zogen mit dem „Schlangen\u00f6l“ als Allheilmittel durch die Lande und verkauften das Wundermittel f\u00fcr so ziemlich alles \u2013 nat\u00fcrlich f\u00fcr ein stattliches S\u00fcmmchen.<\/p>\n Als snake oil bezeichnen einige wie Dye, O’Callahan oder andere Antivirus-L\u00f6sungen. W\u00e4ren die Produkte grunds\u00e4tzlich nur wirkungslos, w\u00e4re dies durchaus ein Fortschritt. Im Moment jedoch sind in beeindruckender Regelm\u00e4\u00dfigkeit immer wieder Schlagzeilen zu lesen, in denen Security-Software durch eigene L\u00fccken und kritische Fehler f\u00fcr zus\u00e4tzliche Risiken sorgen.<\/p>\n O’Callahan ist \u00fcberzeugt, dass andere Entwicklungen, etwa Browser, durch invasiven und schlecht implementierten Code unsicherer gemacht werden. Er bringt ein Beispiel aus der Firefox-Entwicklung: Mozilla hatte in Firefox ziemlich z\u00fcgig die ASLR („Address Space Layout Randomization<\/a>„) implementiert. Dieses Sicherheitsfeature soll Schadsoftware die Arbeit wesentlich erschweren.<\/p>\n Jedoch f\u00fchrte das schnelle Implementieren letztlich dazu, dass unterschiedliche Antivirus-Produkte ASLR durch eigene DLL<\/a> unterbunden haben. Dazu muss man bedenken, dass sich eine Antivirus-L\u00f6sung \u00e4hnlich verhalten kann wie Schadsoftware: Sie h\u00e4ngen sich an s\u00e4mtliche Prozesse, versuchen, alles mitzubekommen, was im System passiert. Offenbar war es einfacher, dies zu erreichen, indem man ASLR unterdr\u00fcckte, anstatt sich anzupassen.<\/p>\n O’Callahan berichtet auch davon, dass Antivirus-Software das Einspielen wichtiger Updates f\u00fcr Firefox verhindert habe. Gerade bei Sicherheitsupdates ist dies denkbar schlecht!<\/p>\n Diese Kritiken an Antivirus-Software bleiben nat\u00fcrlich nicht verborgen. Und so haben sich die Antiviren-Experten von AV-Test im November 2014 drangemacht, die Selbstschutz-Verfahren verschiedener Antiviren-L\u00f6sungen zu \u00fcberpr\u00fcfen. Das Ergebnis war mehr als ern\u00fcchternd: In diversen Virenscannern wurden Sicherheitsl\u00fccken gefunden, die den zu sch\u00fctzenden Rechner zus\u00e4tzlich gef\u00e4hrdeten. ASLR und DEP („Data Execution Prevention“) wurde von nur zwei Herstellern umgesetzt. Viele andere Entwickler sicherten ihre Software nur teilweise mit den Verfahren ab.<\/p>\n Daran hat sich vieles ge\u00e4ndert. Erst Anfang Mai 2017 nahm AV-Test<\/a> erneut 19 Consumer-AV-Produkte und 13 Unternehmensl\u00f6sungen unter die Lupe. 16 Programme nutzen vollst\u00e4ndig ASLR und DEP. Eine Software, bei der die Verfahren nur etwas mehr als ein Drittel der Softwarekomponenten abdecken, bildet das Schlusslicht im Test. Auch zeigten die Codes der Anwendungen, dass Entwickler zumeist zus\u00e4tzlich auf Code-Signing setzen. Dies verhindert die Ausf\u00fchrung nicht signierter Codes.<\/p>\n Das Expertenteam schaute sich auch die Verteilungskan\u00e4le f\u00fcr die AV-Software an. Firmenl\u00f6sungen sind kaum per Direkt-Download zu bekommen. Jedoch offeriert nahezu jeder Hersteller Testsuiten f\u00fcr Privatkunden. Ern\u00fcchternd f\u00e4llt jedoch die Kontrolle des Downloads aus: Von 19 Herstellen bieten sagenhafte 13 Entwickler die Testversionen \u00fcber eine unsichere HTTP-Verbindung an. HTTPS wird ausschlie\u00dflich bei den Testversionen von Avira, ESET, Bitdefender, F-Secure, Kaspersky Lab und G Data angeboten.<\/p>\n AV-Test hat drei verschiedene Teststufen: Das Nutzen von ASLR und DEP, das Signieren der Programmdateien und die Software-Verteilung \u00fcber (un-)gesicherte Kan\u00e4le. Nur bei drei Herstellern zeigten sich die Experten von AV-Test in allen Punkten zufrieden: „Bitdefender, ESET und Kaspersky Lab nutzen zu 100 Prozent ASLR & DEP, signieren alle PE-Dateien mit g\u00fcltigen Zertifikaten und bieten sichere Downloads an“, erkl\u00e4ren die Autoren von AV-Test.<\/p>\n Potenzial lauert allerdings auch in den anderen getesteten Antivirus-Programmen. „Bei vielen Anbietern fehlt nur noch etwas Feinschliff und sie stehen auch perfekt da“, lautet das Fazit der Tester.<\/p>\n Ja: es gibt viele Hersteller von Antivirus-L\u00f6sungen, die durch eigene Nachl\u00e4ssigkeit die Rechner, die sie eigentlich sch\u00fctzen sollten, unsicherer machen. Deshalb jedoch auf einen Schutz zu verzichten, w\u00e4re absolut fatal. Windows wird zweifelsfrei bis heute am h\u00e4ufigsten angegriffen. Aber auch Linux, macOS, die Serversysteme und die Mobile-Systeme iOS und insbesondere Android m\u00fcssen gesch\u00fctzt werden. Vor allem durch die Serversysteme werden immens viele Daten geschleust \u2013 dass hier mindestens ein Malware-Scanner eingesetzt werden muss, d\u00fcrfte niemand bestreiten.<\/p>\n Einen Hauch Ironie tr\u00e4gt die Tatsache in sich, dass McAffee, Arbeitgeber von Brian Dye, mit zu denen z\u00e4hlt, die ASLR und DEP laut AV-Test nicht konsequent genug nutzen. Gut zu wissen ist es jedoch, dass die meisten Schutzprodukte eine hohe Erkennungsrate haben. Das allein reicht jedoch nicht. Einige Hersteller m\u00fcssen es noch verstehen \u2013 und umsetzen, dass die Schutzsuiten als Pakete im Ganzen stimmig sein m\u00fcssen, um Anwender zu sch\u00fctzen.<\/p>\n Jedoch kommt noch etwas zu einem perfekten Schutz hinzu: der gesunde Menschenverstand. Achten Sie auf die Schutzsignale, die Ihnen Ihr Browser liefert. Unsere Serie zur Browsersicherheit<\/a> gibt Ihnen diesbez\u00fcglich Informationen. Mit den folgenden vier Tipps sch\u00fctzen Sie sich selbst nicht nur vor herk\u00f6mmlicher Schadsoftware, sondern auch vor Ransomware:<\/p>\n Dem Thema Antivirus bleiben wir auch in unserer n\u00e4chsten Serie treu, in der wir Malware-\/Virenscanner testen. Freuen Sie sich auf n\u00e4chste Woche, wenn wir die Serie starten. Haben Sie Fragen oder Anregungen zum Thema, freuen wir uns wie immer \u00fcber Ihre Kommentare!<\/p>\nAlles nur „snake oil“?<\/h3>\n
Also verhindert Antivirus sogar Sicherheit?<\/h3>\n
Selbstschutz von AV wird jedoch besser<\/h3>\n
Drei wirklich gute Anbieter<\/h3>\n
Antivirus ist nicht tot, muss nur umdenken<\/h3>\n
Zus\u00e4tzlicher Schutz zu Antivirus: der gesunde Menschenverstand<\/h3>\n
\n