Virenscanner und Co.

Was taugen Virenscanner und sind die heute noch nötig? Eine uralte Glaubensfrage die unter Windows bei der überwiegenden Anzahl an Benutzern mit einem unbedingt nötig beantwortet wird. Erst einmal aber kurz einen Ausflug nach Linux. Da kann man die Frage klar mit jain beantworten. Ein Linux-Desktop braucht sicher keinen Virenscanner weil es praktisch keine Viren dafür gibt und die welche es gibt eben nicht wirklich am Rechtesystem vorbei kommen. Maximal der Account eines Benutzers kann betroffen sein aber nicht das komplette System. Hingegen bei Dienste auf einem Server wie Email oder Samba da diese oft auch mit Windows-Clients benutzt werden kann ein Virenscanner einen Sinn machen. Ich selber benutze Clamav für Samba-Freigaben und im MTA Postfix.

Unter Windows hingegen sind Viren, Würmer und andere Malware weit verbreitet. Daher ist der Markt für Viren- und Malware-Scanner fast unüberschaubar. Viele kommen dann noch mit einer ganzen Suit an Sicherheitsprogrammen daher.

Zunächst einmal muss man sich die Frage stellen wie eigentlich Schadsoftware auf den Rechner kommt:

  • Benutzer hat die Software selber installiert. Das kommt überhaupt nicht selten vor denn faule Eier werden oft selbst installiert. Sei es durch Software die Huckepack im Installer installiert wir. Ein Beispiel dafür wäre Flash das lange mit einer nutzlosesen McAffee-Werbesoftware daher kommt und beim intransparenten Installationsprozess von Windows einfach mit installiert wurde. Ein anderes Beispiel dafür ist auch Software aus unzuverlässiger Quelle. Dazu gehören seltsame Server, gecrackte kommerzielle Software, Seriennummergeneratoren, Pornosites die angeblich irgendwelche gefakten Updates oder oder Browseraddons bzw. Plugins benötigen usw.
  • Von externen Quellen die aktiv installiert werden müssen. Natürlich installieren die wenigsten Menschen freiwillig Schadsoftware. Aber viele sind hier recht nachlässig was externe Software betrifft. Siehe dazu auch vorherigen Punkt. Email-Anhänge (und auch Weblinks) in Emails werden viel zu oft bedenkenlos aufgerufen. Windows und Emailclients blenden in Emails oft die letzten Buchstaben der Dateien aus. So wird aus Beispiel.pdf.exe schnell ein Bespiel.pdf. Angeklickt kommt wird jetzt nicht eine PDF-Datei angezeigt sondern ein unerwünschtes Programm installiert. Das Gleiche funktioniert Sinngemäß auch mit anderen ausführbaren Dateien wie .scr, .bat. oder .com um nur Beispiele zu nennen.
  • Datenträger – Datenträger wie CDs, USB-Sticks, externe Laufwerke und veraltet Diskettenlaufwerke sind die klassischen Formen wie Schadsoftware auf den Rechner gelangen kann. Bei austauschbaren Datenträgern kann einfach ein Aufruf zum Autostarten von Programmen beim Einbinden des Datenträgers angelegt werden oder das Virus befindet sich schon infiziert auf einer Datei auf dem Datenträger.
  • Internet – um einmal ganz klar zu stellen: Den gezielten Angriff eines Hackers auf deinen Rechner gibt es einfach nicht. Dazu bist du zu unwichtig, also kein Vorstandsmitglied einer großen Bank, Bundeskanzler usw. Darüber hinaus bist du fast immer hinter einem Router der dich über NAT mit dem Internet verbindet und der Router besitzt eine dynamische IP-Adresse die sich üblicherweise einmal in 24 Stunden ändert. Das heißt du bist kein lohnendes Ziel für einen individuellen Angriff. Ein Hacker, eigentlich Cracker denn als Hacker werden Personen bezeichnet die sich gut in einem Gebiet auskennen und nicht unbedingt – eher selten – Schaden anrichten wollen, wird es niemals auf deinen Rechner abgesehen haben. Du kannst  dir allerdings Würmer einfangen wenn dein Rechner tatsächlich direkt mit dem Internet verbunden ist. Niemand will an deine Daten außer diejenigen die du denen durch solche Wanzen wie Windows 10 oder Alexa freiwillig gibst. Die meisten der normalen Bedrohung wollen deine Daten und du lieferst ihnen die freiwillig mit Details aus deinem Leben. facebook, google und wie die alle heißen denen lieferst du deine Daten freiwillig.
  • Beim Surfen im Internet – eigentlich wäre das für den Punkt einer oben wichtig aber da es ein wichtiger Einzelpunkt ist hier separat. Auf Websites befinden sich oft Scripte, es werden Scripte von extern eingebunden, es gibt Popups jederlei Art,es werden Werbebildchen und -Animationen abgespielt usw. In den Scripten lassen sich durchaus Schadsoftware verstecken. Wenn ich mir jedoch heise.de anschaue ist das eher eine Randerscheinung.

Schadsoftware kommt, wie man an den Beispielen sieht, selten auf ungewöhnlichen Weg auf den Rechner und ein Krux ist es, dass das erste Benutzerkonto, oft der einzige unter Windows, mit Admin-Rechten arbeitet oder in verwalteten Netzwerken Benutzer auf Admin-Rechten bestehen weil es ja schon immer so war, dass man selber Software installieren konnte. Ich habe da mal nach einer Krankheit geschrottete Rechner mit Skype, komischen Spielen, alle möglichen Instant Messenger und anderen Mist auf Firmenrechnern vorgefunden.

Um mit einer allgemein verbreiteten Meinung aufzuräumen. Verseuchte Rechner sind nicht mehr vertrauenswürdig, gehören sofort vom Netzwerk genommen und müssen neu installiert werden. Man kann keinem Rechner vertrauen der durch Schadsoftware verseucht wurde und die Entseuchung einer Software überlassen. Am besten man hat ein Backup vor der Verseuchung. 

Virenscanner sind selber komplexe Softwareprodukte die sich normalerweise tief ins Betriebssystem einnisten und ist wie jedes Softwareprodukt fehlerbehaftet. Diese Fehler kann ein potentieller Angreifer ausnutzen um das System zu kompromittieren. Darüber hinaus brechen Virenscanner oft die TLS-Verschlüsselung um die übertragenen Netzwerkpakete zu untersuchen – ein klassischer Man-in-the-middle-Angriff also. Auch wird oft die TLS 1.2 auf TLS 1.0 downgradet da sich so die Netzwerkpakete für den Virenscanner scannen lassen.

Windows-10-Benutzer sind das zwar schon gewohnt aber durch den Virenscanner gibt man weiter die Hoheit über seinen Rechner auf denn der Virenscanner entscheidet welche Software erwünscht ist und welche nicht. Unerwünschte Software wird ggf. vom Virenscanner deinstalliert oder in ein Quarantäne-Verzeichnis verschoben und damit unbrauchbar gemacht.

Normale Computerviren nutzen alt bekannte Sicherheitslücken aus und praktisch niemals frisch entdeckte Lücken (sogenannte 0day-Exploits) aus da letztere sehr teuer gehandelt werden. Ein aktuell gehaltenes Betriebssystem ist hier der viel bessere Schutz als ein Virenscanner denn diese Sicherheitslücken sollten eigentlich gepatcht sein – wobei das nicht unbedingt die Stärke von Microsoft ist. Ein weiteres Sicherheitsfeature ist das Arbeiten mit eingeschränkten Benutzerrechten und nicht mit Administratorrechten. Das heißt der Rechner kennt mindestens zwei Konten – Administrator und Benutzer mit eingeschränkte Rechten der keine Software installieren kann. Leider wird dieses Feature durch Microsoft selber in der Standardinstallation ausgehebelt und der erste angelegte Benutzer hat Adminrechte.

Was ist nun mit Schadprogrammen wie z.B. dem Bundestrojaner? Gegen diese staatlichen Schnüffelprogramme hilft auch kein Virenscanner da die Virensignaturen diese normalerweise nicht enthalten und vermutlich durch staatliche Einfluss oder vorauseilendem Gehorsam entfernt werden .

Als Fazit kann man feststellen, dass sich Virenscanner wie Schadprogramme verhalten. Sie verändern Daten ohne das der Besitzer eingreifen kann, sie verlangsamen das System und nisten sich tief in das System ein und sie verändern den Netzverkehr.

Auf Rechnern mit Windows 10 ist übrigens der beste Virenscanner, wenn man doch einen benutzen will, mit dabei. Der Windows Defender gilt als der beste Virenscanner für Windows 10 und einen zweiten bedarf es nicht da sich Virenscanner gegenseitig ins Gehege kommen und sich stören.

 

kais-universum.de