Antivirus ist auch nur Schlangenöl für die Sicherheit, oder?

Schlangenöl, das
(eine Substanz ohne wirklichen medizinischen Nutzen, die als Allheilmittel angepriesen wird)

Der Begriff stammt aus dem amerikanischen Sprachgebrauch und geht zurück auf das 19. Jahrhundert. Angebliche Wunderheiler hatten auf ihren Verkaufsfahrten Schlangenöl als Heilmittel gegen alle möglichen Gebrechen angepriesen. Dadurch hatte sich „snake oil“ mit der Zeit als Umschreibung für gefälschte Produkte etabliert. In den deutschen Sprachraum gelangte der Begriff erst in den letzten Jahrzehnten, wo er sich vorrangig auf fragwürdige Software bezieht.

Die vorgenannte Aussage war in den vergangenen Jahren schon in zahlreichen Artikeln zu lesen. Viele Autoren behaupten immer wieder, dass Antivirus-Software mehr schadet als nützt und Anwender lieber Abstand davon nehmen sollten, um die Sicherheit ihres Computers nicht zu gefährden.

Auch wenn in den Anschuldigungen gegen unsere Branche ein Körnchen Wahrheit stecken mag, so lassen diese gut gemeinten Sicherheitsartikel wichtige Informationen außen vor. In diesem Blogbeitrag möchten wir Ihnen daher gern einige Hintergrundinformationen aus Sicht der Antivirus-Programmierer geben.

Eine Entscheidung, ob Antivirus-Software in der Tat Schlangenöl ist oder ein wichtiger Bestandteil jedes Computersystems sein sollte, lässt sich schließlich erst treffen, wenn alle Fakten bekannt sind. Doch lesen Sie selbst und machen Sie sich ein eigenes Bild.

Was ist der Zweck von Antivirus-/Anti-Malware-Software?

Vollkommen klar: Schutz vor Viren, Trojanern, Ransomware und allen anderen Arten von Malware (also Schadsoftware).

Ganz so einfach ist diese scheinbar simple Antwort allerdings nicht. Werfen wir aber zunächst einen Blick auf den Ursprung von Malware.

Wie gelangt Malware auf Ihren Computer?

Es ist ein verbreiteter Irrtum, dass wir Malware als unvermeidbares Übel unseres digitalen Lebens akzeptieren müssen. Internetbedrohungen sind weder plötzliche Erscheinungen, noch unumgänglich.

Sie sind eher wie unerwünschter Besuch. Wie Diebe versuchen sie, über verschiedenste Wege in Ihr Zuhause zu gelangen, etwa über offene Fenster oder Kellereinstiege. Das Einfachste ist jedoch immer noch, an Ihre Tür zu klopfen und Sie zu überzeugen, sie einzulassen. Vielleicht reden die Diebe Ihnen aber auch ein, Ihr Zuhause ungeschützt zu lassen, damit sie sich in einem unbeobachteten Moment hineinschleichen können.

Worauf ich eigentlich hinaus will:

Es ist meistens der Mensch, der den Computer unsicher macht, nicht die Technik.

Niemand hört es gern, aber Menschen machen Fehler. Das war schon immer so und wird auch so bleiben, egal, für wie schlau oder fähig wir uns halten. Es liegt nun einmal in unserer Natur und leider wissen viele Angreifer genau, wie sie das zu ihrem Vorteil nutzen können. Sie verlassen sich darauf, dass Sie:

• nicht sorgfältig auf Ihre Software-Updates achten und möglicherweise den aktuellen Patch für eine neu entdeckte Sicherheitslücke nicht installieren. Über derartige Lücken können sich Angreifer dann mithilfe von Exploit-Code Zugriff verschaffen und einen Trojaner oder Bot einschleusen.
• auf die Schaltfläche zum Herunterladen klicken, wenn sie nur gut genug mit verlockenden – und falschen – Angaben angepriesen wird. Schließlich sollen Sie die unerwünschte Software installieren, die Sie dann ständig mit Werbung und Pop-up-Meldungen nervt.
• neugierig sind und den E-Mail-Anhang öffnen, der wie eine Rechnung oder eine Lieferbestätigung aussieht, aber tatsächlich ein Verschlüsselungsprogramm ist, das den Zugriff auf Ihre Dateien sperrt und ein Lösegeld verlangt.
• auf den Link in einer E-Mail klicken, wenn sie wie all die anderen E-Mails aussieht, die Sie jeden Tag erhalten. Sie könnten dann aufgefordert werden, Ihre Bank-Zugangsdaten einzugeben, damit die Verbrecher Ihr Konto leerräumen können.
• einfach immer wieder auf „Weiter“ klicken, ohne sich die Installationsanweisungen durchzulesen, um unbemerkt Adware-Pakete oder Tuning-Tools zu installieren, die Ihr System aber nur schädigen.
• zu bequem sind und immer wieder dieselben leicht zu merkenden Kennwörter einsetzen. Starke Vorkehrungen gegen Brute-Force-Angriffe bei Ihrem Remote-Desktop-Dienst wären dann sicher auch zu viel Aufwand. Umso besser für die Kriminellen, die dann durch das Ausprobieren typischer Passwortkombinationen ganz schnell Ihre Kennwörter herausfinden können und so Zugriff auf Ihren Computer und Ihre Daten erhalten.

Also, was war noch einmal der Zweck einer Antivirus-Software?

Antivirus-Software soll Sie davon abhalten, unbeabsichtigt Fehler zu begehen, die die Sicherheit Ihres Computers gefährden könnten.

Welche anderen Schutzvorkehrungen können Sie treffen?

Noch vor einem Jahrzehnt war ein Antivirusprogramm so ziemlich die einzige Möglichkeit, um Ihr System zu schützen. Heutzutage gibt es glücklicherweise mehrere Schutzschichten, um vor dem schlimmsten Fall der Fälle zu bewahren:

Benutzerberechtigungen

In den frühen Computertagen liefen unter Windows alle Programme mit denselben Berechtigungen, nämlich den höchsten. Folglich konnte sich jedes bösartige Skript, das von einer Website heruntergeladen wurde, vollständigen Zugriff auf Ihre Daten verschaffen und diese bei Bedarf vernichten. Heute sind Benutzerberechtigungen standardmäßig auf das Nötigste beschränkt. Zwar gibt es hier und da noch einige Lücken bei der Implementierung, aber dennoch hat dieses Konzept bei Malware für etliche Veränderungen gesorgt. Laden Sie jetzt beispielsweise ein Programm herunter, müssen Sie in der Regel zunächst manuell bestätigen, dass es ausgeführt werden darf.

Ein Nachteil bleibt: Berechtigungssysteme sind meistens sehr aufwendig und daher ebenfalls anfällig für Sicherheitslücken.

Updates

Vielleicht erinnern auch Sie sich noch, als Anfang der 2000er fast monatlich neue große Sicherheitslücken in Windows und im Internet Explorer entdeckt wurden. Auf jede Schwachstelle folgte ein regelrechter Ansturm mit Wurm-Angriffen, um Computer darüber zu infizieren. Natürlich gibt es auch heute noch Sicherheitslücken in Software und Hardware. Doch die Industrie hat gelernt, professioneller damit umzugehen und die möglichen Auswirkungen zu beschränken. Updates für Windows und andere Software erfolgen heutzutage automatisch im Hintergrund, wodurch die Dauer des Ungeschütztseins kürzer ist und sich weniger Möglichkeiten für Angreifer bieten.

Wie bei so vielen Dingen ist auch Computercode niemals perfekt und nicht alle Sicherheitslücken werden auch an die Hersteller zur Behebung weitergeleitet. Einige werden stattdessen auf dem Schwarzmarkt für ordentliche Summen gehandelt.

Sandboxes

Moderne Browser sorgen inzwischen recht gut dafür, dass die Website-Skripts so weit wie möglich von den auf Ihrem Computer gespeicherten Daten fernbleiben. Diese sichere Isolation von Code und Prozessen wird als Sandbox-Technologie bezeichnet. Sofern es keine integrierten Schwachstellen gibt, um den Sandbox-Code selbst auszunutzen, sind derartige Umgebungen sehr sicher.

Konzeptionelle Schwächen von Antivirus-Software

Einige Sicherheitsexperten bezeichnen Antivirus-Software als gefährlich. Das ist nicht überraschend, da sie das in der Tat sein kann. Weshalb?

Das Problem der Berechtigungen

Antivirus-Software muss auf einem Betriebssystem mit den höchsten Berechtigungen ausgeführt werden, damit sie nicht nur die Benutzerdaten, sondern das gesamte System und alle darauf installierten Programme überwachen kann. Es ist schlicht nicht möglich, eine wirkungsvolle Antivirus-Lösung zu entwickeln, wenn sie keinen Zugriff auf die zu schützenden Daten hat.

Indem sie jedoch die höchsten Berechtigungen hat, kann jeder Fehler in der Software selbst zum Verhängnis werden – vor allem, wenn er Angreifern ermöglicht, über das Antivirus-Programm auf das System zu gelangen.

Die Aussage, dass eine Antivirus Software das System gefährden kann, ist aus technischer Sicht also vollkommen korrekt. Hier muss allerdings eine wichtige Anmerkung gemacht werden: Dasselbe gilt auch für jegliche andere Software, die Sie mit Administratorrechten auf Ihrem Computer installiert haben. Dazu gehören alle auf dem System eingerichteten Hardware- und Software-Treiber sowie jegliche sonstige systemnahe Tools, die im Hintergrund laufen.

Beim Schreiben dieses Artikels zeigt mein Task-Manager 221 aktive Prozesse an, von denen 111 systemweite Berechtigungen haben. Nur einer davon ist der Schutzdienst von Emsisoft Anti-Malware. Alle anderen 110 Prozesse sind ein ebenso hohes Risiko für die Sicherheit Ihres Systems wie der Schutzdienst.

Das ist noch lange keine Entschuldigung, um schlechten Code zu schreiben. Man sollte sich aber zumindest eingestehen, dass die Chancen für eine Schwachstelle (wenn nicht sogar eines absichtlichen Rootkits oder einer Hintertür) in einem Ihrer Hardware-Treiber genauso hoch stehen wie bei der Antivirus-Software.

Wie uns die Geschichte gezeigt hat, gibt es in jeder Software mögliche Schwachstellen. Es gibt sie in Betriebssystemen, in Antivirus-Software und auch in Treibern und sonstigen Tools, die mit hohen Berechtigungen ausgeführt werden.

Das Beste, was wir als Anbieter – egal welcher Branche – machen können, wenn eine Sicherheitslücke entdeckt wird? Sie schnellstmöglich beheben.

Das Problem der SSL/TLS-Überprüfung

Etwa die Hälfte aller Websites im Internet nutzen bereits das sichere, verschlüsselte Kommunikationsprotokoll TLS (und seinen besser bekannten Vorgänger SSL). Verschlüsselte Webseiten lassen sich am „https“ (wichtig ist das „s“) am Anfang ihrer Adresse erkennen.

SSL wird zwar allseits begrüßt, birgt für Anbieter von Antivirus-Lösungen jedoch ein wissenswertes Problem. Zur Erkennung von Bedrohungen setzen nämlich viele Produkte auf eine ausführliche Kontrolle des Website-Datenverkehrs. Da es sich bei SSL um eine Verschlüsselung des Datenverkehrs zwischen dem Browser und dem Webserver handelt, ist eine Überprüfung der Website-Inhalte technisch nur möglich, wenn das Antivirus-Programm einen lokalen SSL-Proxy installiert, der die tatsächlichen Sicherheitszertifikate der Website simuliert. Diese Herangehensweise ist jedoch sehr gefährlich, da viel schief laufen kann. Im schlimmsten Fall kann dem Anwender vorgegaukelt werden, dass die Website sicher verschlüsselt sei, obwohl das gar nicht der Fall ist.

Die Überprüfung des Datenverkehrs ist nicht die einzige Möglichkeit, um vor gefährlichen Websites zu schützen. Das Problem betrifft also nicht alle Antivirenprodukte.

Emsisoft ist der beste Beweis dafür, dass ein Internetschutz auch ohne Beeinträchtigung dieses Sicherheitsprotokolls möglich ist. Sollte Ihnen also die SSL-Sicherheit wichtig sein, achten Sie auf DNS-basierte Webfilter.

Das Problem der Inkompatibilität

Für fortschrittliche Schutztechnologien wie einer Verhaltensanalyse muss die Antivirus-Software auf einer Ebene zwischen dem Betriebssystem und den eigentlichen Anwendungen liegen. Leider war Windows ursprünglich nicht darauf ausgelegt, dass Sicherheitsprogramme auf dieser Ebene zum Einsatz kommen würden. In den Anfangstagen hätte niemand damit gerechnet, dass Antivirus-Software zu mehr fähig wäre, als schlicht Dateistrukturen zu scannen.

Entwickler ließen folglich ihrer Kreativität freien Lauf und nutzten undokumentierte Windows-Schnittstellen und „unsauberen“ Code. Damit brachten sie die Programme zwar zum Laufen, beste Praktiken für sicheres Programmieren sehen jedoch anders aus.

Dies führte häufig – und gelegentlich auch heute noch – zu Inkompatibilitäten zwischen den Programmen. Widersprüchliche Sicherheitskonzepte (insbesondere bei der Sandbox-Technologie) bis hin zu Programm- und Systemabstürzen waren die Folge.

Zum Glück haben sich Microsoft und andere Software-Anbieter diese Probleme zu Herzen genommen und angefangen, zuverlässige und standardisierte Schnittstellen zur Programmierung fortschrittlicher Antivirentechnologien bereitzustellen. Insbesondere die Einführung einer neuen Filtertreiber-Plattform mit Windows Vista sorgte in der Branche für Erleichterung. Mit ihr ließ sich die Antivirentechnologie noch stabiler und kompatibler gestalten.

Also ist Antivirus-Software nutzlos?

Lassen wir das Marketing mal außen vor und sehen die Sache logisch. Natürlich verdiene ich mir meinen Lebensunterhalt mit der Entwicklung von Antivirus-Software. Wäre ich jedoch nur aufs Geldmachen aus, würde ich ehrlich gesagt eher zur dunklen Seite wechseln und Malware schreiben. Das ist (leider) das profitablere Geschäftsmodell.

Ich habe jedoch über die Hälfte meines Lebens dem gewidmet, was mir bis heute bei Computern am wichtigsten ist: Anwendern dabei helfen, sie sicher zu verwenden.

Wenn Antivirus-Produkte überflüssig sind, weshalb gibt es dann so viele Schadprogramme?

Jedes Jahr finden unsere Malware-Scanner Millionen gefährliche Dateien und unser Echtzeitschutz blockiert Millionen Angriffe. Es kann also keinen Zweifel an der Wirksamkeit von Antivirus-/Anti-Malware-Software geben. Wie sagte es einer unserer Händler so schön:

Wir haben Hunderte, wenn nicht sogar Tausende Kopien von Emsisoft über unser Geschäft verkauft. Emsisoft funktioniert so gut, dass ich fast schon glaube, dass es sich negativ auf unser Reparaturgeschäft auswirkt. – David Gentry, Lantean Systems LLC, USA

Aussagen wie diese bestätigen uns, dass es keine Zeit- und Geldverschwendung ist, in Antivirus-/Anti-Malware-Software zu investieren. Wir erkennen Malware nicht, um Trefferquoten zu erreichen oder Kunden ein Erfolgserlebnis zu bescheren. Wir sorgen dafür, dass nichts Schlimmes passiert – jeden Tag.

Es gibt keine absolute Sicherheit – sie ist immer ein Abwägen von Risiken

Meine Erfahrung in der Sicherheitsbranche hat mir eins gezeigt: Viele Leute sehen alles nur Schwarz und Weiss. Es wird eine Schwachstelle in einem bestimmten Programm bekannt und schon kommen sie zu dem Schluss, dass alle derartigen Programme schlecht sein müssen.

Insbesondere bei sehr komplexen Systemen und Konzepten gibt es aber kein schlichtes Richtig oder Falsch. Es kommt immer auf die jeweiligen Erwartungen und tolerierbaren Risiken an.

Wenn Sie einer der wenigen absoluten Computerspezis sind und allein anhand Ihres Wissens zweifelsfrei alle möglichen Bedrohungen abwehren können, benötigen Sie auch keine Antivirus-Software. Die Wahrscheinlichkeit, dass die Software eine Schwachstelle hat, ist höher als das Risiko, dass Sie sich tatsächlich eine Infektion einfangen.

Sollten Sie jedoch die vergangenen 20 Jahre nicht zufällig mit dem Studium von Betriebssystem-Architekturen und Sicherheitskonzepten zugebracht haben, ist die Gefahr eines menschlichen Fehlers wesentlich größer als das Risiko, dass Ihre Antivirus-Software selbst zum Ziel eines Angriffs wird.

Anwender von Emsisoft Anti-Malware werden im Durchschnitt mehrmals pro Jahr vor Angriffen geschützt, die anderenfalls verheerende Folgen für den Computer haben könnten. Auch vor potenziell unerwünschten Programmen (PUP), die vom Sicherheitsstandpunkt aus gesehen nicht zwangsläufig als Bedrohung gelten, sind unsere Anwender sicher.

Wie Sie für sich selbst die Risiken abwägen, liegt letztendlich bei Ihnen.

Wäre die Welt ein besserer Ort ohne Antivirus-Software?

Meine persönliche Mission ist erst erfüllt, wenn wir keine Antivirus-Software mehr benötigen. In einer idealen Welt könnten wir uns auf eine Computer-Architektur verlassen, die von vornherein auf Sicherheit ausgelegt ist und sämtliche Eventualitäten durch menschliche Fehler berücksichtigt. Leider gibt es so etwas (noch) nicht.

Solange Programme von Menschen geschrieben und Computer von Menschen verwendet werden, wird es höchstwahrscheinlich auch Sicherheitslücken geben, die gestopft werden müssen.

Und bis dahin werden wir unseren Weg fortsetzen und versuchen, die bestmögliche Lösung gegen Ransomware, Trojaner, Viren, unerwünschte Programme und alle sonstigen Arten von Malware bereitzustellen – damit Sie Ihre Zeit online ohne Sicherheitsbedenken genießen können.

Wir wünschen eine gut geschützte Zeit.

Übersetzung: Doreen Schäfer