Zum Hauptinhalt springen

Der Virenscanner ist selbst ein Risiko

Harsche Kritik an den Sicherheitsprogrammen: Sie seien nicht Teil der Lösung, sondern Teil des Problems. Zeit, sie über Bord zu werfen?

Matthias Schüssler
Das Jigsaw-Erpresservirus löscht jede Stunde Dateien, wenn der Benutzer nicht zahlt. Wie schützt man sich vor dieser Gefahr?
Das Jigsaw-Erpresservirus löscht jede Stunde Dateien, wenn der Benutzer nicht zahlt. Wie schützt man sich vor dieser Gefahr?
PD

Robert O’Callahan hat sich letzte Woche so richtig in Rage geschrieben. «Antivirenprogramme sind einfach schrecklich», empörte er sich in seinem Blog: «Es gibt allenfalls vernachlässigbare Hinweise, dass diese Programme die Sicherheit erhöhen. Es ist aber wahrscheinlich, dass sie die Sicherheit markant beeinträchtigen.» Anwender sollten diese Programme schleunigst löschen – und nur noch das in Windows eingebaute Programm Defender verwenden.

Robert O’Callahan hat bis im März 2016 als Entwickler bei der Mozilla-Stiftung gearbeitet, die für den Firefox-Browser verantwortlich ist. Dort hat er schlechte Erfahrungen gemacht: Die Hersteller der Antivirenprogramme halten Standard-Sicherheitspraktiken nicht ein. Sie sind an Leistungsproblemen und Abstürzen in den Anwendungsprogrammen schuld, für die deren Hersteller den Kopf hinhalten müssen. Und sie verhindern, dass Softwarehersteller wie Mozilla ihre eigenen Ideen für sicherere Programme umsetzen können.

O’Callahan ist nicht der Einzige, der solche happigen Vorwürfe äusserst. Kritik kommt auch aus dem Project Zero. Das ist Googles Sicherheitsteam, das Sicherheitslücken nicht nur in den Produkten aus dem eigenen Haus, sondern auch bei den Softwareerzeugnissen Dritter aufspürt. In der öffentlich durchsuchbaren Fehlerdatenbank sind viele der gängigen Antivirenprodukte mit diversen Einträgen vertreten.

Riesige Schwachstellen

Ende Juni letzten Jahres haben die Forscher von Project Zero diverse Fehler in der zentralen Komponente von Symantecs Sicherheitsprodukten gefunden. ZD Net hat damals Tavis Ormandy, einen der Experten, wie folgt zitiert: «Die Schwachstellen können schlimmer nicht sein.» Sie lassen sich hinter dem Rücken des Nutzers ausbeuten. Sie betreffen die Standardkonfiguration, und Software kann auf dem Rechner nach Belieben schalten und walten. In manchen Fällen kann der Schadcode bis in den Kern des Systems gelangen, erklärt Ormandy.

Justin Schuh lässt kein gutes Haar an den Herstellern, die versprechen, Computer und Daten vor Angriffen zu schützen: «Die Antivirenprogramme sind das grösste Hindernis, das uns beim Ausliefern eines sicheren Browsers im Weg steht», schrieb er auf Twitter.

Justin Schuh ist für die Sicherheit von Googles Chrome-Browser zuständig und laut «Ars Technica» einer der weltweit besten Sicherheits-«Fuzzis». Er hat auch grundsätzliche Einwände gegen die Funktionsweise der Antivirenprogramme. Sie hinken der Bedrohungslage immer hinterher, da sie reagieren und nicht agieren. Sicherheit müsse von Anfang an eingebaut und nicht nachträglich übergestülpt werden.

Aufgestauter Frust

In der Entwicklergemeinschaft hat sich einiges an Frust aufgestaut. Sie kann, so sagt es Ex-Mozilla-Mitarbeiter Robert O’Callahan, Probleme mit Antivirenlösungen noch nicht einmal öffentlich machen. Wer eine Software vertreibt, ist auf die Gunst der Hersteller angewiesen. Denn wenn die Antivirenhersteller ihrerseits Sicherheitsbedenken äussern, ist das verheerend für den eigenen Ruf.

Die Kritik an den Antivirenherstellern ist nicht neu. Manche Produkte machen durch aggressive Werbung in eigener Sache auf sich aufmerksam, andere rufen sich dem Benutzer mit ständigen Hinweisen auf abgewehrte Gefahren in Erinnerung. Immer wieder werden Sicherheitsprodukte mit anderen Programmen gebündelt ausgeliefert und den Anwendern so quasi hinterrücks untergejubelt.

Typischerweise sind es Browser-Erweiterungen wie Extra-Symbolleisten, die man sich ungefragt einhandelt. Avira hat 2011 die Ask-Toolbar unter die Leute gebracht, die für eine alternative Suchmaschine Werbung machte. AVG hat 2015 die eigene Browsererweiterung Web TuneUp in Chrome installiert, die aber eine riesige Hintertür für Cyberkriminelle öffnete. Google Sicherheitsexperte Tavis Ormandy hat die damals als «Müll» bezeichnet.

Weg mit dem Virenscanner?

Ist es angesichts all der Probleme spätestens jetzt an der Zeit, das Antivirenprogramm über Bord zu werfen und sich ganz auf die Sicherheitsfunktionen des Betriebssystems zu verlassen? Denn wie Ex-Mozilla-Entwickler Robert O’Callahan sagt, ist Windows Defender völlig ausreichend und Microsoft «im Allgemeinen kompetent».

Hannes Lubich ist Informatikprofessor an der Fachhochschule Nordwestschweiz und Sicherheitsexperte. Seiner Meinung nach sind Virenscanner nicht obsolet. «Aber sie müssen gut in das Gesamt-Management der Informationssicherheit integriert sein.» Es gibt seiner Meinung nach ein gutes Argument, auch weiterhin mehrere Produkte zu berücksichtigen. «Die Vielfalt der Anbieter stellt sicher, dass ich nicht in die Risiken einer Monokultur hineingerate.»

Auch die Cloud sorgt dafür, dass die herkömmlichen Antivirenprogramme an Bedeutung verlieren. Denn wenn die Daten nicht mehr auf dem eigenen Computer, sondern im Netz lagern, braucht dieser Computer weniger Schutz. Deswegen sollten die Anwender das Thema aber nicht ignorieren. Auch in der Cloud muss jemand für Sicherheit sorgen: «Aus den Augen, aus dem Sinn mag für naive Endanwender schön klingen, aber es ist ein sehr dummes Konzept.» Darum muss man als Kunde zumindest kontrollieren, dass die eigenen Daten sicher sind. Und im Firmenumfeld haben die Kunden keine andere Wahl, als sich selbst um die Einhaltung der Sicherheitsvorschriften zu kümmern.

«Antivirus ist tot»

Gegenüber Redaktion Tamedia konnten oder wollten Symantec und Kaspersky bis zum Redaktionsschluss keine Stellung nehmen. Es scheint aber so zu sein, dass auch die Hersteller nicht davon ausgehen, dass der klassische Virenscanner noch viel Zukunft hat. 2014 hat das «Wall Street Journal» den damaligen Chef für Informationssicherheit mit den Worten zitiert: «Antivirus ist tot.»

Die exakt gleiche Formulierung hat 2015 auch ein Pionier der Branche, John McAfee verwendet. Der in den letzten Jahren etwas exzentrische Ex-Chef von McAfee Associates sagte in einem Internetchat: «Ich habe ein Klapphandy ohne GPS. Wenn ich Internet benötige, nutze ich mein Samsung-Telefon, und ich kaufe alle zwei Wochen ein neues.»

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch