Vergesst Anti-Viren-Software

Ein Entwickler von Mozilla Firefox hat eine Tirade gegen Antiviren-Software (AVS) abgefeuert und zur Deinstallation aufgerufen:

Ich meine, er hat recht, sein Blog ist lesenswert und kann meine Erfahrungen und Einschätzungen dazu beitragen:

Ab und zu administriere ich noch private PCs und kleinere Firmen-Netze, und gerade da ist der Befall mit Computerviren noch ein Problem, mit dem man immer wieder konfrontiert wird. In letzter Zeit sind das vor allem Email-Anhänge mit Trojanern, die dann die Festplatte verschlüsseln („Locky“) oder andere Schadwirkungen entwickeln. Der Schaden ist groß, wenn keine gute Sicherung (nicht unter meiner Ägide) existiert, bleibt oft nur, die Maschine neu zu installieren.

Die Frustration der Anwender ist groß, nicht ganz zu unrecht wird argumentiert, man hätte doch die Antiviren-Software XY, die müsste die Bedrohung doch schließlich erkennen. Das ist natürlich auch das bequemste Verhalten:

  • die Antiviren-Software (AVS) ist gekauft und arbeitet scheinbar umsonst. Die CPU-Last durch AVS auf schwachen Maschinen ist jedoch oft durchaus nennenswert, die Maschine wird langsamer und arbeitet mehr für das AVS als für den Anwender.
  • die Vorsichtsmaßnahme Sicherung macht Arbeit und ist oft nur unzulänglich vorhanden, wenn sie nicht durch einen Dienstleister erledigt und überwacht wird. Selbst smarte Freiberufler sichern bisweilen ihre zentrale Software mit Kundenstamm und Faktura nicht.
  • die beste Gegenmaßnahme, erst nachzudenken, bevor man einen suspekten Anhang öffnet, macht Mühe. Zugegeben: die Emails werden immer besser getextet, für jeden ist etwas dabei. Aber das ist auch die Herausforderung: Die beste AVS sitzt bei Email-Anhängen immer noch zwischen den Ohren des Anwenders, er muss seine Neugierde zügeln. Die Unart von Microsoft, die Extensions der Dateien in Windows in der Voreinstellung nicht zu zeigen, begünstigt die Täuschungsfähigkeit der Attachments. Die Gemeinde Altdorf nimmt deswegen jetzt keine Anhänge im Word, Excel und ZIP Format mehr an, nur noch PDF.

Das Erstaunen ist groß, wenn ich den Anwendern erkläre, dass ihre AVS hier oft gar nichts hilft: Die Schadsoftware wird immer wieder leicht verändert, so dass die AVS die Trojaner erst nach einigen Tagen erkennen können. Dies lässt sich auch leicht demonstrieren, ich habe dies schon Kunden gezweigt:

  1. Man nehme eine neue Email mit suspektem Anhang, von dem man sich relativ sicher ist, das Bedrohung droht. Daran herrscht meist auch in meinen Postfächern kein Mangel, die Emails kommen aber in Wellen, zeitweise wenige, dann wieder ein großer Schwung.
  2. AVS des Systems abschalten, falls sie den Schädling wider Erwarten doch finden sollte.
  3. Speichern des Anhangs im System, nicht aber Öffnen (Doppelklick), sonst droht natürlich der Befall. Eine Warnung: Dies sollte man natürlich nur machen, wenn man sich eine fehlerfreie Bedienung des Systems auch zutraut. Bei Konzentration auf die Handhabung ist ein Befall aber nicht möglich.
  4. Test des Anhangs mit virustotal.com, einem kostenlosen Online-Dienst, der die hoch geladene Datei mit 54 verschiedenen AVS testet.
  5. Das Ergebnis ist bei relative neuen Anhängen meist so, dass nur eine Handvoll der 54 AVS die Bedrohung erkennt, die anderen lassen sie durch und sind damit für die meisten „neuen“ Bedrohungen nutzlos. Nach einigen Tagen Wartezeit verbessert sich das Bild, immer mehr der AVS erkennen den Schädling.
  6. Wichtig: Das lokale AVS nach dem Test wieder einschalten und den gespeicherten Schädling löschen, damit man nicht doch noch aus Versehen darauf herein fällt. Auch dies sei wieder nur für trittsichere User empfohlen.
google Sicherheitsmassnahmen

Einschätzungen von Laien und Experten differieren stark. Quelle: Google

Bei einer Welle von Email-Trojanern sind die AVS als meist nutzlos. Die Realität ist als ganz anders als die Erwartungshaltung der Anwender, die sich oft durch die AVS für „unsterblich“ halten. Zudem wird doch die extreme Wichtigkeit guter AVS immer durch die „Experten“ in den Medien betont, wahrscheinlich auch, weil sich damit gut Geld verdienen lässt. Das nebenstehende Bild, erstellt von Google, illustriert die unterschiedliche Einschätzungen zum Thema Online-Sicherheit bei Laien und Experten ebenso.

Meine Haltung zu AVS ist sehr kritisch:

  • AVS machen durchaus Sinn in professioneller Umgebung, also zum Beispiel in Email-Servern von Firmen, die die Schadens-Emails zentral analysieren und filtern können. Auch eine zentrale Firewall ist nützlich.
  • Kauf-AVS für Enduser-Maschinen sind ein gutes Geschäft mit einem Abo-Modell, das den Aufwand für die Pflege der Virensignaturen (Erkennungsmuster) vergüten soll. Der Wert solcher Software wird aber überschätzt, ober der Anwender sowas braucht sollte er kritisch hinterfragen:
    • Wie oben gezeigt, helfen die AVS bei gefährlichen Anhängen nur bedingt
    • AVS arbeiten nicht umsonst: Die Systemlast wird gerne vernachlässigt, ist aber durchaus gegeben.
    • Ist der Nutzen der AVS bei den Kosten für das Abo-Modell hoch genug?
  • Nicht selten scheitern Installation von nützlicher Software daran, dass die AVS Teile der Installation blockiert und nicht zulässt, oft sogar ohne Fehlermeldung. Die Anwendung ist dann auf dem System, funktioniert aber nur zu 95%, sehr unangenehm und schwer zu diagnostizieren. Ich hatte schon Fälle wo erst nach teuren Hotline-Gesprächen klar wurde, dass man für die Installation der Anwendung das AVS abschalten muss. Dies führt dazu, dass man bei Installationen das AVS pauschal abschaltet. Ein Widerspruch zu den Sicherheitsanforderungen, gerade bei Installationen kann ein AVS nützlich sein.
  • Oft kommen Kauf-AVS mit einem neues System vorinstalliert mit einem 30-Tage-Abo für den Update der Virensignaturen daher. DerAnwender lässt das Abo nach 30 Tagen auslaufen und hat daher meist nur die Unannehmlichkeiten, aber keinen effektiven Schutz mehr. Das ist eine große Unsitte der PC-Hersteller, die zu Lasten der Kunden und der Sicherheit geht.
  • Besonders sicherheitsbewusste Anwender habe manchmal zwei AVS parallel installiert, nach dem Motto: „viel hilft viel“. Das führt in der Regel zu unkontrolliertem Systemverhalten und sehr seltsamen Problemen, bis hin zu unbrauchbarem PC und im Extremfall zur Notwendigkeit einer Neuinstallation.
  • Der regelmäßige Update der Virensignaturen ist Pflicht für die Wirksamkeit. Diese permanente Systemveränderung durch unüberwachbare Mechanismen ist aber auch per se eine Sicherheitslücke. AVS wirken im tief System mit hohen Rechten, wird ein AVS sabotiert, wird es dadurch selbst zum Trojaner. Der Mechanismus ist dadurch ein idealer Einstiegspunkt in die Systeme der Anwender und kann damit von Hackern, unseriösen Anbietern oder Regierungsstellen zur Manipulation der Systeme genutzt werden. Würde ich einen „Bundestrojaner“ installieren wollen, würde ich mich an die AVS-Hersteller wenden. Jeder muss sich selbst fragen, wie viel Vertrauen er dem AVS-Anbieter hier vorschießt. Leider gilt das für das Betriebssystem und Windows-Updates genauso.
  • Manche Anwender Vertrauen der AVS zu stark und werden dadurch leichtsinnig.
  • Kostenlose Versionen der Kauf-AVS sind an und für sich auch ausreichend, nerven aber durch permanente Meldungen und Popups mit Selbstlob und Kaufanreizen für die angeblich viel sicherere Bezahltversion in einem Maße, die sie wieder unbrauchbar macht.

Die einzige Alternative stellen die kostenlosen AVS von Microsoft da, in Windows 10 mit Defender schon eingebaut und aktiv, in Windows 7 und 8 mit Microsoft Security Essentials nachinstallierbar. Wenn schon ein AVS, dann diese, sie sind kostenlos, ausreichend und nerven nicht ständig mit Meldungen, da Microsoft das Geld anderweitig verdient.

Mein Rat an Anwender aus dem privaten Bereich und für kleiner Firmenumgebungen, die nicht zentral von der Systemadministration geschützt sind, ist deswegen:

  • Der beste Schutz bei Email-Anhängen ist das Gehirn. Man stelle sich folgende Fragen: Ist der Inhalt der Email für mich wirklich zutreffend? Kenne ich den Absender? Wurde die Email durch eine Handlung von mir verursacht, oder kommt sie spontan? Kann ein Anhang mit dieser Extension gefährlich sein?
  • Der zweitbeste Schutz sind aktuelle Systeme: Regelmäßige Sicherheitsupdates des Betriebssystems und kritischer Anwendungen wie Browser und Email-Client sind wichtig. Auch sie werden von Anwendern gerne vernachlässigt.
  • Kauf-AVS werden überschätzt, die kostenlosen Varianten sind IMHO ausreichend. Ich empfehle hier durchaus die genannten Komponenten von Microsoft.

Als kundiger, vorsichtiger und versierter Anwender kann man es durchaus verantworten, auch ganz ohne AVS zu arbeiten. Sachkenntnis und die anderen Vorsichtsmaßnahmen reichen aus. Und damit bin ich ganz einig mit Robert O’Callahan.