Matthias Schüsslers Artikelarchiv

Die gesammelten journalistischen Werke seit 1981

Der Virenscanner ist selbst ein Risiko

Ein ehemaliger Firefox-Entwickler sagt, Sicherheitsprogramme seien nicht Teil der Lösung, sondern Teil des Problems. Er ist nicht der Einzige, der harsche Kritik übt. Zeit, diese Programme über Bord zu werfen?

Matthias Schüssler

Robert O’Callahan hat sich vergangene Woche so richtig in Rage geschrieben. «Antivirenprogramme sind einfach schrecklich», empörte er sich in seinem Blog: «Es gibt allenfalls vernachlässigbare Hinweise, dass diese Programme die Sicherheit erhöhen. Es ist aber wahrscheinlich, dass sie die Sicherheit markant beeinträchtigen.» Anwender sollten diese Programme schleunigst löschen – und nur noch das in Windows eingebaute Programm Defender verwenden.

O’Callahan hat bis März 2016 als Entwickler bei der Mozilla-Stiftung gearbeitet, die für den Firefox-Browser verantwortlich ist. Dort hat er schlechte Erfahrungen gemacht: Die Hersteller der Antivirenprogramme halten Standard-Sicherheitspraktiken nicht ein. Sie sind an Leistungsproblemen und Abstürzen in den Anwendungsprogrammen schuld, für die deren Hersteller den Kopf hinhalten müssen. Und sie verhindern, dass Softwarehersteller wie Mozilla ihre eigenen Ideen für sicherere Programme umsetzen können.

Der Ex-Firefox-Entwickler ist nicht der Einzige, der solche Vorwürfe äussert. Kritik kommt auch aus dem Project Zero. Das ist Googles Sicherheitsteam, das Sicherheitslücken nicht nur in den Produkten aus dem eigenen Haus, sondern auch bei den Softwareerzeugnissen Dritter aufspürt. In der öffentlich durchsuchbaren Fehlerdatenbank sind viele der gängigen Antivirenprodukte mit diversen Einträgen vertreten.

Riesige Schwachstellen

Ende Juni letzten Jahres haben die Forscher von Project Zero diverse Fehler in der zentralen Komponente von Symantecs Sicherheitsprodukten gefunden. ZD Net hat damals Tavis Ormandy, einen der Experten, wie folgt zitiert: «Die Schwachstellen können schlimmer nicht sein.» Sie lassen sich hinter dem Rücken des Users ausnutzen. Sie betreffen die Standardkonfiguration, und Software kann auf dem Rechner nach Belieben schalten und walten. In manchen Fällen gelange der Schadcode bis in den Kern des Systems, erklärt Ormandy.

Justin Schuh lässt kein gutes Haar an den Herstellern, die versprechen, Computer und Daten vor Angriffen zu schützen: «Die Antivirenprogramme sind das grösste Hindernis, das uns beim Ausliefern eines sicheren Browsers im Weg steht», schrieb er auf Twitter. Schuh ist für die Sicherheit von Googles Chrome-Browser zuständig und laut «Ars Technica» einer der weltweit besten Sicherheits-«Fuzzis». Er hat auch grundsätzliche Einwände gegen die Funktionsweise der Antivirenprogramme. Sie hinken der Bedrohungslage immer hinterher, da sie reagieren und nicht agieren. Sicherheit müsse von Anfang an eingebaut und nicht nachträglich übergestülpt werden.

In der Entwicklergemeinschaft hat sich einiges an Frust aufgestaut. Sie kann, so sagt es Ex-Mozilla-Mitarbeiter Robert O’Callahan, Probleme mit Antivirenlösungen noch nicht einmal öffentlich machen. Wer eine Software vertreibt, ist auf die Gunst der Hersteller angewiesen. Denn wenn die Antivirenhersteller ihrerseits Sicherheitsbedenken äussern, ist das verheerend für den eigenen Ruf.

Die Kritik an den Antivirenherstellern ist nicht neu. Manche Produkte machen durch aggressive Werbung in eigener Sache auf sich aufmerksam, andere rufen sich dem Benutzer mit ständigen Hinweisen auf abgewehrte Gefahren in Erinnerung. Immer wieder werden Sicherheitsprodukte mit anderen Programmen gebündelt ausgeliefert und den Anwendern so quasi hinterrücks untergejubelt.

Typischerweise sind es Browser-Erweiterungen wie Extra-Symbolleisten, die man sich ungefragt einhandelt. Avira hat 2011 die Ask-Toolbar unter die Leute gebracht, die für eine alternative Suchmaschine Werbung machte. AVG hat 2015 die eigene Browsererweiterung Web TuneUp in Chrome installiert, die aber eine riesige Hintertür für Cyberkriminelle öffnete. Google-Sicherheitsexperte Tavis Ormandy hat die damals als «Müll» bezeichnet.

Weg mit dem Programm?

Ist es angesichts all der Probleme spätestens jetzt an der Zeit, das Antivirenprogramm über Bord zu werfen und sich ganz auf die Sicherheitsfunktionen des Betriebssystems zu verlassen? Denn wie Ex-Mozilla-Entwickler O’Callahan sagt, ist Windows Defender völlig ausreichend und Microsoft «im Allgemeinen kompetent».

Hannes Lubich ist Informatikprofessor an der Fachhochschule Nordwestschweiz und Sicherheitsexperte. Seiner Meinung nach sind Virenscanner nicht obsolet. «Aber sie müssen gut in das Gesamtmanagement der Informationssicherheit integriert sein.» Es gibt seiner Meinung nach ein gutes Argument, auch weiterhin mehrere Produkte zu berücksichtigen. «Die Vielfalt der Anbieter stellt sicher, dass ich nicht in die Risiken einer Monokultur hineingerate.»

Auch die Cloud sorgt dafür, dass die herkömmlichen Antivirenprogramme an Bedeutung verlieren. Denn wenn die Daten nicht mehr auf dem eigenen Computer, sondern im Netz lagern, braucht dieser Computer weniger Schutz. Deswegen sollten die Anwender das Thema aber nicht ignorieren. Auch in der Cloud muss jemand für Sicherheit sorgen: «‹Aus den Augen, aus dem Sinn› mag für naive Endanwender schön klingen, aber es ist ein sehr dummes Konzept.» Darum muss man als Kunde zumindest kontrollieren, dass die eigenen Daten sicher sind. Und im Firmenumfeld haben die Kunden keine andere Wahl, als sich selbst um die Einhaltung der Sicherheitsvorschriften zu kümmern.

Gegenüber dem «Tages-Anzeiger» konnten oder wollten Symantec und Kaspersky bis zum Redaktionsschluss keine Stellung nehmen. Vieles deutet aber darauf hin, dass auch die Hersteller nicht davon ausgehen, dass der klassische Virenscanner noch viel Zukunft hat. 2014 hat das «Wall Street Journal» den damaligen Chef für Informationssicherheit mit den Worten zitiert: «Antivirus ist tot.»

Die exakt gleiche Formulierung hat 2015 auch ein Pionier der Branche, John McAfee, verwendet. Der in den letzten Jahren etwas exzentrische Ex-Chef von McAfee Associates sagte in einem Internetchat: «Ich habe ein Klapphandy ohne GPS. Wenn ich Internet benötige, nutze ich mein Samsung-Telefon, und ich kaufe alle zwei Wochen ein neues.»

Das Jigsaw-Erpresservirus löscht jede Stunde Dateien, wenn der Benutzer nicht zahlt. Vor dieser Gefahr sollte man sich schützen. Foto: PD

«Sicherheit muss von Anfang an eingebaut sein und kann nicht hinterher übergestülpt werden.»
Justin Schuh, Google-Sicherheitsexperte

«Ich nutze das Internet über ein Telefon von Samsung. Und kaufe alle zwei Wochen ein neues.»
John McAfee, Antivirenpionier

Quelle: Tages-Anzeiger, Mittwoch, 1. Februar 2017

Rubrik und Tags:

Faksimile
170201 Seite 31.pdf

Die Faksimile-Dateien stehen nur bei Artikeln zur Verfügung, die vor mindestens 15 Jahren erschienen sind.

Metadaten
Thema: Aufmacher
Nr: 14334
Ausgabe:
Anzahl Subthemen: 1

Obsolete Datenfelder
Bilder:
Textlänge:
Ort:
Tabb: FALSCH