AV-Software – realer Schutz oder schädliches Schlangenöl?

03.05.2017
G DATA Blog

Die Diskussion darüber, ob AntiViren-Software wirklich schützt oder ob sie am Ende das System noch unsicherer macht, ist (fast) so alt wie die AV-Industrie. In der letzten Zeit häufen sich aber kritische Stimmen. Anlass für heise bei der Security Tour, die Zeit nach der Mittagspause mit einer intensiven und spannenden Diskussion zu überbrücken. Hier die wichtigsten Thesen und Argumente. 

In Köln und Hamburg fanden am Dienstag (25.4.) und Donnerstag (27.4) die ersten zwei von fünf Events der heise Security Tour statt. Die Veranstaltungsreihe läuft unter dem Motto "Komplexe Angriffe intelligent verteidigen" und umfasst Vorträge von Experten aus den Bereichen APT und gezielte Angriffe, DDoS Überlastangriffe, CyberCrime, Threat Intelligence, Internet der Dinge und IT-Sicherheitsrecht. Die Idee zu der Podiumsdiskussion um  "AV-Software -realer Schutz oder schädliches Schlangenöl?" entstand, nachdem Fefe in einem seiner Blogartikel Jürgen Schmidt, den Chefredakteur von heise Security, fälschlicherweise des "Antivirus-Fanboy-Schreibertums" bezichtigt hat. 

Ausgangslage und Erwartungshaltung

Ein Vertreter der AV-Industrie und Fefe sollten dieses kontroverse Thema diskutieren. G DATA ergreift diese Chance, um in dieser oft dogmatisch und fachlich unvollständig geführten Diskussion die Perspektive eines Anbieters von IT-Sicherheitslösungen zu ergänzen. Ob das dazu führt, dass Leute ihre Meinung in dieser Frage ändern, ist fraglich und auch nicht primäres Ziel. So ähnlich sieht das auch Fefe: 

Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.

Kommentar aus dem Blog von Fefe

Die Statements zum Start

Fefes Statements sind. 1.) "Antiviren funktionieren nicht" und  2.) "Antiviren schaffen zusätzliche Angriffsoberfläche" und verursachen andere Folgeprobleme.

G DATA vertritt die These, dass Antiviren-Software (in Form von Internet Security Suiten) eine wichtige und effektive Komponente in einem Schutzkonzept ist, die gegen a) bekannte und b) weit verbreitete Angriffe von Schadprogrammen umfassend schützen. Ohne Virenschutz ist man deutlich schlechter dran. Um gezielte Angriffe abzuwehren reicht das aber nicht aus. Dafür müssen weitere und ggf. andere Schutzmaßnahmen umgesetzt werden, die auf die Bedürfnisse und Gegebenheiten in den Unternehmen angepasst sind.

Wie gut schützt AV?

Die Antwort auf diese Frage ist nicht einfach. Wenn man anekdotisch an die Sache herangeht, liegt die Wahrheit zwischen den Extremen "an Weihnachten muss ich im Familienkreis immer Malware-verseuchte Rechner bereinigen" (Fefe) und einem Beitrag eines Systemadministratoren aus dem Publikum "Dass der Virenschutz Angriffe abwehrt, kann ich täglich in der langen Liste der als schädlich erkannten und in die Quarantäne verschobenen Dateien sehen". Um die Diskussion zu versachlichen, müssen Zahlen her. Aber auch das ist schwierig. Es gibt etliche Testinstitute, die mit verschiedenen Verfahren testen, wie effektiv Antiviren-Programme schützen. Mittlerweile werden die alten Tests mit großen Malware-Sammlungen abgelöst durch Tests, in denen echte Angriffsszenarien nachgebildet werden. Die Tests messen dann nicht mehr die Effektivität einzelner Schutztechnologien, sondern, ob ein Angriff erfolgreich war. So unterschiedlich wie die Herangehensweisen sind auch die Ergebnisse. Die Ergebnisse liegen üblicherweise weit über 90% erkannter und abgewehrter Angriffe. In diesem Zusammenhang davon zu sprechen, dass AV-Software nicht schützt, entbehrt jeder Grundlage.

Zusätzliche Software vergrößert die Angriffsfläche

 

Mit jeder neu installierten Software erhöht sich die Angriffsfläche auf einen Rechner. Das gilt für Office-Suiten, Bildbetrachter, MediaPlayer, PDF-Reader, Browser, E-Mail-Clients, Messenger etc. ebenso wie für Antiviren-Software. Letztere hat aber eine Reihe von Besonderheiten:

  • Der Virenschutz hat Bordmittel (Signatur-Updates, aktualisierten Verhaltensregeln, Cloud) die es ermöglichen sich selbst vor Angriffen zu schützen. Das ist bei anderer Software nicht der Fall. 
  • Der Virenscanner läuft mit System-Rechten. Ein erfolgreicher Angriff könnte also weitreichende Folgen haben. Das stimmt einerseits nur für einige Komponenten der AV-Software und üblicherweise nutzt sie die Möglichkeiten des Betriebssystemse, Exploits zu erschweren. 
  • Die Sicherheitslücken in AV-Produkten werden i.d.R. so schnell behoben. In den letzten 30 Jahren sind unseres Wissens nach keine Fälle bekannt, in denen Antiviren-Software zur massenhaften Verbreitung von Malware ausgenutzt worden wäre. Antiviren-Software ist darauf ausgelegt solche Angriffe zu erkennen und zu verhindern und tut dies auch erfolgreich. Ohne Virenschutz sind Rechner deutlich schlechter geschützt. 
  • Fefe führt ein weiteres Szenario an, das belegen soll, dass Antiviren-Software die Angriffsfläche erhöht. Um Viren in den vielen Dateiformaten zu finden, braucht der Virenscanner entsprechende Parser. Diese Parser können Schwachstellen enthalten, die in den Original-Programmen auch für Exploits genutzt werden können. Das Beispiel PDF soll das illustrieren. Wenn man seine Systeme so konfiguriert, dass keine PDFs verarbeitet werden, ist es vor Angriffen mit PDFs sicher. Ein Virenscanner macht es dann unsicher, weil er einen PDF-Parser enthält. Hier muss man aber entgegnen, dass die Parser im AV-Produkt nur rudimentäre Funktionen enthalten. Angriffe auf einen PDF-Parser in einem PDF-Reader werden nur in Ausnahmefällen dazu führen, dass auch der Virenschutz anfällig ist. Die zusätzliche Angriffsfläche ist minimal.  Für den nicht alltäglichen Fall, dass jemand wirklich ein System ohne PDF-Reader und ohne PDF-Scan betreiben möchte, kann man in den meisten AV-Produkten Ausnahmeregeln für die relevanten Dateitypen erstellen. Die meisten AV-Produkte bieten für solche Sonderfälle auch flexible Konfigurationsmöglichkeiten

Wenn man Rechner auf Sicherheit optimieren will, sollte man die Software, die genutzt werden soll, mit Bedacht auswählen. Jedes neue Programm erhöht die Gefahr des Missbrauchs. Das gilt für manche Programme mehr (z.B. Browser, Office-Suiten, die auf Java basieren, Software, die alte Runtime-Versionen installiert). Das gilt prinzipiell auch für AntiViren-Software. Die wichtigste Aufgabe des Virenschutzes ist es, die Angriffe auf den Rechner abzuwehren, die aus der Angriffsfläche auf die installierte Software resultiert. Ohne AV-Software ist das Gesamtsystem anfälliger. 

AV-Produkte, die nur reaktiv erkennen gibt es nicht mehr

Das klassische Bild von Antiviren-Software geht davon aus, dass ein Virenscanner anhand einer im Labor erstellten Signatur vor bekannten Computerschädlingen schützt. Erst wenn die Signatur auf dem Rechner ist, besteht vermeintlich auch ein Schutz. Der klassische Virenscanner ist aber 1.) um cloud-basierte Erkennungsverfahren ergänzt worden und 2.) längst nicht mehr das einzige Verfahren zur Erkennung von Malware.  
@1: Alle etablierten Hersteller von Antiviren-Software betreiben Server im Internet, die aktuelle Informationen über kursierende Schadprogramme enthalten. Wenn die automatisierte Analyse ergibt, dass eine Datei schädlich ist, kann sie innerhalb von Sekunden in den Datenbanken als schädlich markiert werden. Sobald die Datenbanken auf diesen Servern "wissen", dass eine Datei mit bestimmten Eigenschaften als schädlich anzusehen ist, sind alle Kunden geschützt. Entsprechende Signaturen werden zwar erst mit dem nächsten Update ausgerollt. Die Datei wird aber bereits erkannt. 
@2: Schon lange besitzen moderne Virenschutzprogramme proaktive, dynamische Komponenten, die typische Aktionen von Malware am Verhalten im System erkennen. In einigen Produkten gibt es spezielle Schutzkomponenten, die u.a. im Browser davor schützen, dass Banking-Trojaner das Konto leer räumen, die verhindern, dass Exploits erfolgreich sind und die Ransomware mit generischen Mitteln erkennen sobald sie aktiv wird. 

Gezielte Angriffe gezielt abwehren

Auch wenn viele AV-Produkte mittlerweile Schutzkomponenten enthalten, die gegen Exploits schützen (auch bislang unbekannte), reichen sie nicht aus, um die ausgeklügelten und auf die Schutzmechanismen des Unternehmens abgestimmten Angriffe von versierten in Echtzeit agierenden Hackern abzuwehren. Wer im Visier von Spionen und staatlichen Organisationen steht, muss weit mehr tun, um seine Netze und Rechner abzusichern. Der generelle Ansatz von AV-Software (und anderen Endpoint-Protection-Lösungen) lässt unbekannte Software gewähren und blockiert als schädlich bekannte Dateien und Aktivitäten. Dieser Blacklisting-Ansatz ist aus dem Blickwinkel der Sicherheit einem Whitelisting unterlegen. Beim Application-Whitelisting werden nur bekannte Dateien und Aktivitäten erlaubt. Alle anderen werden blockiert. Wer erhöhte Anforderungen an die Sicherheit stellen muss, ist mit einem Whitelisting-Ansatz üblicherweise besser beraten. Aber auch Whitelisting kann umgangen werden. Leider sind die Restriktionen, die mit Whitelisting einhergehen, oft so einschneidend, dass sie im betrieblichen Alltag nicht umsetzbar bzw. nicht praktikabel sind. In Bereichen mit höherem Schutzbedarf, wo feste Abläufe definiert sind und die eingesetzte Software klar definiert ist, können die Systeme gehärtet werden und der Einsatz von Whitelisting ist sinnvoll. Das kann z.B. in der Produktion oder im Rechnungswesen umgesetzt werden. In den Fällen, wo Whitelisting nicht praktikabel ist, kann Antiviren-Software die Endpunkte effektiv absichern und bietet einen Basisschutz, wenn gängige Software in unterschiedlichen Einsatzgebieten verwendet wird und man dabei auf populäre Betriebssysteme zurückgreift.

Verschlüsselte Daten sind sicher, oder?

Das Verhältnis von Verschlüsselung und Privatsphäre zu Malware-Schutz bzw. Schutz vor Angriffen auf die IT wird gelegentlich vermischt. Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen. Wenn die Information verschlüsselt ist, wird damit sichergestellt, dass nur autorisierte Nutzer die Informationen lesen und ggf. verändern können. Das bewahrt die Privatsphäre. In Bezug auf IT-Sicherheit setzt das allerdings voraus, dass  die Endpunkte nicht kompromittiert werden können. Diese Annahme sollte man aber genau prüfen. Es gibt viele Beispiele, die zeigen, dass kompromittierte Endpunkte schädliche Daten über einen verschlüsselten und vermeintlich sicheren Kanal verschickt haben. Hier ein paar Beispiele: 

  • Banking-Trojaner, die als Man-in-the-Browser die Webinhalte kompromittieren und dennoch per https mit dem Bankserver kommunizieren.
  • Kompromittierte Webcams des Mirai-Botnetzes können auch über https und ssh  an  Überlastangriffen (DDoS) teilnehmen.
  • Der elektronische Personalausweis wurde mit vielen Verschlüsselungsverfahren abgesichert. Geknackt wurde am Ende die Ausweis-App.
  • Die Programmable Logic Controller (PLC) von SCADA-Systemen können kompromittiert werden (vgl. Stuxnet) und mit ihnen ihre Kommunikation. 

Es ist nicht einfach zu beurteilen, ob es notwendig ist, verschlüsselte Daten auf gefährliche Inhalte zu prüfen. Manchmal reichen die Verbindungs- und Metadaten aus, um festzustellen, ob Inhalte auf Angriffe hinweisen. Wenn das nicht ausreicht, müssen die Daten unterwegs entschlüsselt, geprüft und vor der Weiterleitung wieder verschlüsselt werden. Damit wird die Ende-zu-Ende-Verschlüsselung aufgehoben und es kann dazu führen, dass die erneute Verschlüsselung  nicht so stark ist wie die ursprüngliche. Ob die IT-Sicherheitsverantwortlichen in einem Unternehmen es für notwendig erachten die Inhalte von verschlüsselten E-Mails oder die Inhalte von verschlüsseltem Webseiten-Traffic zu prüfen und sie damit diese Risiken eingehen, hängt von den Sicherheitsanforderungen und den Gegebenheiten im Unternehmen ab. Die AV-Software unterstützt die Administratoren bei der Umsetzung der im Unternehmen beschlossenen Richtlinien. Für Privatkunden treffen die AV-Hersteller nach bestem Wissen eine Vorentscheidung basierend auf den aktuellen Bedrohungsszenarien, die ggf. vom Nutzer mit entsprechenden Einstellungen revidiert werden kann. 

Eine Analogie zum Schluss

Vergleiche mit anderen Bereichen wie Autos, Gebäude mit Schlössern, Krankheiten und ihre Verbreitung werden gerne genommen, um die komplexen Abläufe im Bereich der IT-Sicherheit zu illustrieren. Fefe bringt eine ungewöhnliche, aber durchaus nützliche Analogie. Putzkräfte. Er fragt in seinem Blog "wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck". Es könnte sogar noch schlimmer kommen, wenn die Putzkraft klaut. Die Antwort liegt allerdings auf der Hand. Von einer derart schlechten und faulen Putzkraft sollte man sich trennen und eine neue suchen, die mit System vorgeht und die wichtigen Plätze häufig und gründlich säubert aber auch in regelmäßigen Abständen in den entlegeneren Ecken (hinterm Sofa, auf dem Schrank etc.) reinigt. Klar ist aber auch, dass es keine Alternative ist, auf eine Putzkraft zu verzichten, denn dann verdreckt der gesamte Haushalt in kürzester Zeit. Das trifft auch für Antiviren-Software zu. 

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein