zurück zur Übersicht

Antivirus: Tot, oder nicht tot – das ist hier die Frage

Zustand nicht perfekt, aber Patient am Leben: Antivirus lebt!Mit Brian Dye, Vizepräsident von Symantec, fing es an: „Antivirus ist tot!“ – so seine Aussage.

Das dürfte den einen oder anderen Computernutzer verunsichert haben. Drei Jahre später folgt der Blogeintrag von Robert O’Callahan, Ex-Firefox-Entwickler, bei dem er sich den angestauten Frust von der Seele schreibt. Er rät sogar pauschal dazu, Antiviren Software zu deinstallieren.

Was ist dran an den Aussagen? Ist Antivirus wirklich tot, oder sollte man sich vielleicht Gedanken über die Begrifflichkeit an sich machen? Richten Virenscanner gar, wie manche behaupten, mehr Schaden an als sie nutzen?

Der Beantwortung dieser zentralen Fragestellungen ist der folgende Artikel gewidmet.

Signaturbasierter Ansatz – „Du siehst fertig aus,“ sagte der Igel zum Hasen.

Um zu verstehen, wieso Antivirus tot sein könnte, gilt es, sich zunächst einmal anzuschauen, wie ein klassisches Antivirenprogramm mit signaturbasierter Erkennung funktioniert.

Die signaturbasierte Erkennung gibt es bereits seit dem Aufkommen der ersten Computerviren. Dabei wird – einfach ausgedrückt – die Signatur, quasi der „Steckbrief“ der verdächtigen Datei (Hashwert) mit einer Datenbank auf dem Computer abgeglichen. Wird die Signatur anhand der Datenbank als Malware identifiziert, so wird diese vom System erkannt und Maßnahmen ergriffen, um sie zu blockieren bzw. zu löschen.

Ein System, das vom Grundsatz her auch heute noch funktioniert. Doch die Zeiten haben sich geändert. Zwei Dinge sind für dieses Konzept im Wesentlichen fatal:

Statistiken des AV-Test Institutes zufolge gibt es seit Anbeginn der Zählung etwa 600 Millionen Malwaresamples. Dazu kommen täglich etwa 390.000 neue Schadprogramme. Unabhängig davon, ob es sich um einzigartige oder nur geringfügig abgewandelte Malware handelt: eine Signaturdatenbank die den Code aller Schadprogramme enthält, sprengt inzwischen die Kapazität gewöhnlicher Heimcomputer.

Was noch mehr ins Gewicht fällt ist aber ein anderer Punkt. Ransomware zum Beispiel – momentan sehr in Mode bei Cyberkriminellen – wird automatisch für jeden angegriffenen Rechner leicht abgewandelt. Der Code und damit die Signatur ändert sich jedes Mal. Ebenso schwer greifbar ist „dateilose“ Malware, die nur im Arbeitsspeicher in ihrer eigentlichen Form existiert.

Der konventionelle Ansatz stößt hier deutlich an seine Grenzen.

Totgesagte leben länger

Diese Probleme sind auch den Herstellern von Antivirus-Programmen längst klar. Sie sind in Ihrer Entwicklung – zum Glück – nicht stehen geblieben. Eine gut gepflegte Signaturdatenbank ist beispielsweise längst nur noch ein Teil der Strategie. Boshaft könnte man bemerken, dass sich ein Abomodell am einfachsten mit regelmäßigen Signaturupdates rechtfertigen lässt, so dass dieser Teil schon allein aus finanziellen Gründen am Leben bleiben wird.

Der Weg geht allerdings auch im Endverbrauchersegment hin zur Kombination verschiedener Techniken, um Malware zu erkennen und spätestens bei der Ausführung zu stoppen. Dabei kommen Methoden wie Speicherüberwachung, Sandboxing (Verhaltensbeobachtung einer verdächtigen Software in geschützter Umgebung) und heuristische Erkennungsalgorithmen oder das Blockieren bekanntermaßen verseuchter Internetseiten zum Einsatz.

Die Erkennungsquoten lassen dennoch im Einzelnen zu wünschen übrig. Besonders moderne Advanced Persistent Threats (APT) sind für Consumer-Lösungen praktisch nicht aufzuspüren. Allerdings muss man hier die Kirche im Dorf lassen: Der Aufwand für einen APT-Angriff auf eine Privatperson steht (von wenigen Ausnahmen abgesehen) in keinem sinnvollen Verhältnis zum möglichen Gewinn. Auch Cyberkriminelle sind gewissen ökonomischen Zwängen unterworfen.

HTTPS-Inspektion – gut gemeint aber meist schlecht umgesetzt

Ein Problem bleiben auch geschützte HTTPS-Verbindungen. Um zu analysieren, was über HTTPS auf den Computer gelangt, bleibt dem AV-Programm nichts übrig, als in die geschützte Kommunikation zwischen User und Webserver einzugreifen. Genau dies soll aber durch HTTPS und Zertifikate – quasi die Personalausweise der Webseiten – eigentlich verhindert werden.

Erst vor einigen Tagen hat das US-Cert (United States Computer Emergency Readiness Team) eine Warnung zur HTTPS-Interception herausgebracht. Die Damen und Herren kamen zu dem Schluss, dass AV-Software oftmals keine korrekte TLS-Zertifikatsvalidierung durchführt und damit die Ende-zu-Ende-Verschlüsselung von HTTPS gravierend schwächt. Dies könnte zu Man-in-the-Middle-Angriffen führen. In diesem Zusammenhang wird auch die Frage nach Sicherheitsfeatures wie Public Key Pinning (PKP) relevant, die durch die Zwischenschaltung der AV-Scanner ausgehebelt werden. Allerdings ist auch PKP an sich ein nicht unproblematisches Feature (wir berichteten).

Und so wird aus einer eigentlich guten Idee eine mehr als schlechte Umsetzung. Auch hier besteht ganz klar Nachbesserungsbedarf.

Suffer slings & arrows: Schlechter Schutz ist besser als garkeiner

Selbst wenn ein Antivirenprogramm im Extremfall 60% der Malware durchlässt (ISTR Internet Security Threat Report Vol21 04/2016): Ganz ohne AV-Scanner im Netz unterwegs zu sein ist fahrlässig. Es muss allerdings klar sein, dass ein Virenscanner bei Weitem keinen absoluten Schutz bietet, sondern lediglich die letzte Verteidigungslinie bilden kann. Aber besser man schlägt sich mit sechs von zehn Schädlingen herum, als wirklich jeden möglichen Uralt-Virus mitzunehmen, der einem in den Weiten des World Wide Web begegnet.

Wer sich zusätzlich an einige Grundregeln hält, kann erheblich zur eigenen Sicherheit beitragen:

  • Abstand von dubiosen Seiten halten (die z.B. kostenpflichtige Software oder deren Seriennummern gratis anbieten)
  • nicht jeden E-Mail-Anhang sofort öffnen (im Zweifel beim Versender rückfragen)
  • Wenn ein Officedokument fragt, ob es ein Makro benutzen darf, im Zweifelsfall die Erlaubnis verweigern
  • zum alltäglichen Gebrauch einen Nutzer mit eingeschränkten Rechten einrichten, anstatt dauerhaft mit Administratorrechten online zu sein
  • Regelmäßig wichtige Daten als Backup speichern, und zwar auf einem externen Datenträger, der nicht dauerhaft mit dem Rechner verbunden ist

Diese Maßnahmen sind allerdings auf keinen Fall ein Ersatz für einen Virenscanner.

Der Kampf geht weiter

Im professionellen Bereich ist man natürlich schon einen Schritt weiter. Hier geht der Trend zu sogenannten „Next-Generation AV Lösungen“. Diese ausgefuchsten Tools kombinieren verschiedenste Techniken zur Schadsoftwareerkennung, wie beispielsweise statische Codeanalyse, Sandboxing Techniken, verhaltensbasierte Analyse und sogar künstliche Intelligenz in Form von maschinellem Lernen um den Kampf gegen eine neue Generation und Komplexität von Malware zu bestreiten.  Sprechen wir also heut zu Tage von einem Antivirus Programm, so meinen wir damit eine Reihe von komplexen Techniken und Produkten zusammengefasst in einer umfassenden Security-Suite.

Und weil Antivirus im Vergleich zu Begriffen wie Cyberbedrohung, Cyberwaffen und Cyberkrieg lange nicht so cool klingt, nennt man es eben Next-Generation Antivirus oder Advanced Persistent Threat Defense.

Ist Antivirus nun also wirklich tot? Der klassische, rein signaturbasierte und seit Jahrzenten verfolgte Ansatz schaut sich die Radieschen schon sehr lange von unten an. Die neue Generation mit innovativen und weitgehend ressourcenschonenden Techniken hat das Feld gerade erst betreten und neigt dazu im Cyberkrieg wieder die Oberhand zu gewinnen. Lassen Sie also lieber Ihren Virenscanner noch installiert. Ein Update auf eine neue Version ist aber zu empfehlen.

Übrigens:

Wir Experten schauen auf das Buzzword-Bingo der AV-Industrie immer mit einem kritischen Auge. Und so haben wir uns selbst an einen Test gewagt und die Leader im Gartner Magic Quadrant mit modernen und neuen Next-Generation Lösungen verglichen. Das überraschende Ergebnis folgt demnächst hier im Cubespotter.

Edit: Der zweite Beitrag der Serie über Malware-Protection ist inzwischen unter https://www.it-cube.net/cubespotter/test-anti-malware-loesungen-im-vergleich/ zu finden.

 


Quellenangaben:

Brian Dye über den Tod des AV:
https://www.wsj.com/articles/SB10001424052702303417104579542140235850578

Robert O’Callahan über AV Software:
http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

AV Test Malware Statistics:
https://www.av-test.org/en/statistics/malware/

Gartner Magic Quadrant for Endpoint
https://www.gartner.com/doc/reprints?id=1-2XU816T&ct=160203

ISTR Internet Security Threat Report Vol21 04/2016
https://www.symantec.com/content/dam/symantec/docs/reports/istr-21-2016-en.pdf

 

Schreibe einen Kommentar