In den Foren und teils auch in der Fachpresse wird das Thema ja teilweise heiß diskutiert: reicht der Windows Defender als mitgelieferte Antivirenlösung aus oder muss es eine kostenlose oder gar kostenpflichtige Lösung eines anderen Anbieters sein? Sind Virenscanner generell “Schlangenöl”? Verursachen sie möglicherweise mehr Probleme als sie beseitigen?
Das Thema wird teilweise auf einer sehr persönlichen Ebene diskutiert und ich selber habe eigentlich keine Lust, wieder und wieder die selben Punkte durchzukauen. Daher gibt es hier jetzt die passende Zusammenfassung. Holen wir zum Anfang mal etwas aus.
Was ist ein ein Virenscanner und was kann er vom Prinzip her?
Ein Virenscanner ist ein Stück Software, welches im Hintergrund läuft und möglichst alles, was auf dem PC so vorgeht, überwachen soll. Hierbei soll dann auf verschiedene Weise festgestellt werden, ob ein ausgeführter Prozess oder eine Datei schädlich sind und die Ausführung verhindert bzw. gestoppt und die dazugehörigen Dateien unschädlich gemacht werden.
Klassisch arbeiten Virenscanner mit Virensignaturen. Der Hersteller analysiert eine Schadsoftware und verteilt an seinen Scanner ein paar Bits und Bytes, anhand dieser genau diesen Virus erkennen kann. Man sieht schon, woran das krankt: der Hersteller des Virenscanners muss zuerst die Schadsoftware mal in die Finger bekommen und zumindest automatisiert analysieren. Dann müssen diese Signaturen getestet werden und zum Kunden. Wenn man davon ausgeht, dass eine neue Schadsoftware beispielsweise als Mail-Anhang verschickt wird, ist diese Minuten nach der Erstellung beim Empfänger. Eine Virensignatur hilft hierbei also schlicht gar nichts.
Man versucht das zu beschleunigen, indem die Programme direkt beim Hersteller nachfragen. Dies wird gerne beispielsweise als “Cloud-Scan” bezeichnet. Es wird halt nicht gegen eine lokale, heruntergeladene Signatur geprüft, sondern gegen die etwas aktuelleren Signaturen des Herstellers im Netz. Auch dazu muss dieser natürlich die mögliche Schadsoftware schon mal gesehen haben, d.h. auch das ist ggfs. zu langsam.
Daher gibt es seit längerem die Heuristik. Anhand von bestimmten Merkmalen wird versucht, Schadsoftware zu erkennen, auch wenn diese bisher dem Hersteller noch nicht untergekommen ist. Mittlerweile geht die ganze Sache fließend in eine Verhaltensüberwachung über. Es wird also geschaut, was ein ausgeführter Prozess macht. Startet Word jetzt plötzlich eine Powershell, weil das ein Makro so verlangt, um dann Daten aus dem Internet herunterzuladen, ist das wohl kein normales Verhalten. Es mag legitime Gründe für so etwas geben, aber meist steckt da wohl eher Schadsoftware dahinter. Die Verhaltensüberwachung sollte jetzt hier also eingreifen. Etwas flapsig gesagt: es wird geraten, welche Dinge nun gut oder böse sind.
Kann man sich darauf verlassen?
Nein.
Ganz einfach nein. Man kann und sollte sich auf so etwas niemals verlassen! Die Hersteller, die einem Lösungen verkaufen wollen, beschreiben die Sicherheit ihrer Produkte in der Werbung so, als wäre alles super, sobald nur die gekaufte Sicherheitssuite installiert und aktualisiert ist. Nie mehr Sorgen machen, kann gar nichts mehr passieren. 100%ige Sicherheit.
Wer oben gelesen hat, muss das schon bezweifeln. Wie soll eine Kombination aus Signaturen (prinzipiell veraltet) und Verhaltensüberwachung (prinzipiell nicht genau) denn eine 100%ige Sicherheit bringen?
Wenn eine Software ausgeführt wird, die komische Dinge macht und die Verhaltensüberwachung dann irgendwann anschlägt, kann es sein, dass rechtzeitig eingegriffen und Schlimmeres verhindert wurde. Aber wurden denn auch die Dinge, die schon ausgeführt wurden, bis die Verhaltensüberwachung angeschlagen hat, wieder rückgängig gemacht? Mal angenommen, eine Software fängt an, etwas aus dem Netz nachzuladen und einen Prozess zu starten. Als nächstes ändert sie die Browser-Startseite, deaktiviert die Systemwiederherstellung und in dem Moment schlägt der Virenscanner zu. Wird die Systemwiederherstellung dann wieder aktiviert? Die heruntergeladene Datei entfernt? Was passiert, wenn vorher schon andere Systemeinstellungen verändert wurden?
Vielleicht ist es jemandem aufgefallen: ich hab noch gar nicht von bestimmten Produkten geschrieben. Die bisher genannte Problematik trifft auf all diese Software zu. Natürlich auch auf den Windows Defender. Der Defender ist kein Wundermittel. Er ist als Virenscanner genauso schlecht wie alle anderen Produkte auch.
Es ist ein prinzipielles Problem, dass solche Software nur in gewissen, engen Grenzen funktioniert. Man sollte solche Software also eher mit einem Airbag vergleichen: der verhindert nicht den Unfall. Das hätten der Fahrer, ESP, ABS und viele andere Dinge vorher machen sollen. Der Airbag sorgt dafür, dass die Sache möglicherweise glimpflich ausgeht. Ähnlich funktioniert ein Virenscanner. Er kann ältere Schadsoftware erkennen. Er kann möglicherweise neuere Schadsoftware erraten. Vielleicht ist das genau der Punkt, der dem Nutzer den A… äh… Hals rettet, wenn alle tatsächlichen Sicherheitsfunktionen vorher versagt haben.
Ein Virenscanner ist somit nicht generell vollkommen unsinnig. Er ist auch nicht völlig unwirksam, die Bezeichnung als “Schlangenöl” also zumindest etwas übertrieben. Man sollte aber dessen doch eher enge Grenzen kennen, was er leisten kann und was nicht. Zudem sollte er nicht selber noch zum Problem werden. Beides ist nicht ganz einfach.
Software hat Fehler. Virenscanner auch.
Jede Software hat Fehler. Wenn man einen Fehler beseitigt, kann es sein, dass damit ein anderer Fehler aufgerissen wird. Das passiert. Zwei Fragen stellen sich. Einerseits nach der Schwere des Fehlers und zweitens nach dem Grund des Fehlers. Ist der Fehler so schwer, dass er ein massives Sicherheitsproblem darstellt oder ist er eher harmlos bis ärgerlich. Und entstand der Fehler, weil jemand etwas falsch gemacht bzw. übersehen hat oder weil jemand die Grundlagen nicht verstanden hat?
In diesem Artikel im Heise Newsticker wird ein schönes Beispiel von vor ein paar Jahren dokumentiert. Ein Sicherheitsforscher von Googles “Project Zero” hat sich da mehrere Komponenten von Trend Micro vorgenommen. Und wurde fündig. Nach eigenen Aussagen im Passwort Manager nach 30 Sekunden. Den angeblich besonders sicheren Browser bezeichnet er als das Lächerlichste, war er je gesehen habe, da die Komponenten veraltet und dann auch noch grundlegende Sicherheitsfunktionen des Browser-Herstellers darin abgeschaltet waren. Systeme mit der Software waren bis zur Beseitigung der Fehler sperrangelweit offen und auch nachdem die direkten Lücken beseitigt wurden, fanden sich noch diverse Punkte, die den Sicherheitsforscher ernsthaft zweifeln lassen.
In diesem Fall gab es also sowohl Programmierfehler, aber viel schlimmer, es gab massive grundsätzliche Verständnisprobleme in Sachen Sicherheit. Und das von einem Hersteller, der nichts anderes macht, als den Kunden mehr Sicherheit verkaufen zu wollen.
Auch andere Hersteller leisten sich solche massiven Patzer und auch bei anderen Herstellern fragt man sich, ob diese die Grundprinzipien von Sicherheit verstanden haben. Ist das Schlamperei oder Unverständnis?
Bei Bitdefender muss man sich anmelden und ein Konto erstellen. Das erstellte Passwort wird als schwach zurückgewiesen. Wenn DIESES Passwort als schwach gilt, welches Passwort ist denn dann sicher?
Nun: gar keines. Löscht man das Passwort wieder aus dem Eingabefeld, wird das Passwort als sicher angezeigt. Ähem… ja. Würden sie diesen Entwicklern ihre Sicherheit anvertrauen?
Manch einer wird jetzt aufschreien und sagen, dass dies ja gar nicht immer im Virenscanner selber war, sondern teilweise in zusätzlichen Komponenten wie Passwort Manager oder “sicherem” Browser. Aber genau diese sind es ja, die oft als Grund für den Kauf kostenpflichtiger “Sicherheitssuiten” genannt werden.
Auch Microsoft hatte im Defender schon Sicherheitslücken. Das waren allerdings die “klassischen” Fehler, bei denen z.B. ein Pufferüberlauf nicht verhindert wird. Also Programmierfehler, aber keine Fehler, die auf ein grundsätzliches Unverständnis von Sicherheit schließen ließen. Zumindest wäre mir aus den letzten Jahren kein solcher Fehler bekannt.
Die Sache mit der Angriffsfläche
Die Sicherheit eines Systems hängt an der schwächsten Komponente. Es reicht eine Komponente, die möglichst tief im System hängt und möglichst viele Rechte hat, um massive Löcher in ein System zu reißen. Daher versucht man normalerweise, die Angriffsfläche so gering wie möglich zu halten.
Einfach gesagt: besteht mein System aus 100 Komponenten, habe ich mindestens 100 Möglichkeiten, es zu kompromittieren. Installiere ich zehn Komponenten dazu, habe ich 110 Möglichkeiten, es zu kompromittieren. Besteht mein System aus mehr Komponenten, erhöht sich somit die Angriffsfläche. Und erhöht sich die Angriffsfläche, sinkt dadurch die Sicherheit. Ganz automatisch und von alleine.
Nun ist nicht jede Komponente gleich gefährdet, selber zum Sicherheitsproblem zu werden. Eine Anwendung, die nur mit Rechten des Benutzers läuft und Kreise auf den Bildschirm malt, wird sich wenig dazu eignen. Es gibt aber bestimmte Stellen, wo es prinzipiell etwas gefährlicher ist. Treiber sind so eine Sache. Treiber laufen normalerweise mit den Rechten des Systems. Das System darf im Grundsatz alles. Erreicht man es also, eine Lücke in einem Treiber auszunutzen, hat man das große Los gezogen. Und was machen Virenscanner? Sie installieren genau solche Treiber, um sich möglichst tief ins System zu hängen.
Das ist eine aktuelle kostenlose Kaspersky Version. 25 (!) Treiber wurden mit dieser zusammen installiert. Jeder einzelne davon ist ein potenzielles Angriffsziel.
Zudem laufen vier zusätzliche Prozesse. Jeweils zwei für den Virenscanner und zwei für eine “Sichere Verbindung”. Und zwei davon laufen unter dem SYSTEM Konto. Das wären dann auch hier die bevorzugten Angriffsziele.
Durch die Installation dieser Software wurden also 29 zusätzliche potenzielle Angriffspunkte auf dem System geschaffen, die es vorher nicht gab. Davon 27 mit kritischen System-Rechten. Dafür fallen genau zwei Prozesse des Windows Defenders weg. Na holla!
Nehmen wir also mal an, in der tatsächlichen Wirkung wären Windows Defender und Kaspersky gleichauf, trägt Kaspersky trotzdem die Last der größeren Angriffsfläche. Sprich: Kaspersky müsste die Sicherheit im Vergleich massiv gegenüber dem Defender verbessern, um diese zusätzliche Angriffsfläche auszugleichen, damit die Sicherheit des Systems am Ende auf dem gleichen Level ist. Ist das überhaupt möglich?
Das unabhängige Institut AV-Test vergleicht regelmäßig diverse Virenscanner. Schaut man auf die aktuellen Ergebnisse sieht man, dass der Defender ganz knapp die volle Punktzahl verfehlt, die Kaspersky im selben Test abräumt. Gibt es also einen derartig massiven Unterschied in der Wirkung? Nein. Ganz offensichtlich nicht.
Wo verbessert nun also die nachinstallierte Software genau die Sicherheit? Man könnte ja vermuten, dass Microsoft irgendwo lasch und schlampig programmiert und die Anbieter der zusätzlichen Software dies dann viel besser können. Nun, offenbar ist es nicht ganz so. Dieser Artikel als Retrospektive zu Windows Vista hat da einen ganz interessanten Absatz:
“In meiner Rolle als Sicherheitschef von Microsoft habe ich persönlich Jahre damit verbracht, Antiviren-Herstellern zu erklären, warum wir ihnen nicht länger erlauben würden, Kernel-Anweisungen und Datenstrukturen im Speicher zu „patchen“, warum dies ein Sicherheitsrisiko darstellt und warum sie in Zukunft genehmigte APIs verwenden müssen, dass wir ihre Legacy-Anwendungen nicht mehr mit Deep Hooks im Windows-Kernel unterstützen würden – der gleiche Ansatz, den Hacker benutzten, um Nutzersysteme anzugreifen.
Unsere „Freunde“, die Antiviren-Hersteller, drohten, uns im Gegenzug zu verklagen, indem sie behaupteten, wir würden ihren Lebensunterhalt blockieren und unsere Monopolmacht missbrauchen! Mit solchen Freunden, wer braucht da noch Feinde? Sie wollten einfach nur, dass ihre alten Lösungen weiter funktionieren, auch wenn das bedeutete, die Sicherheit unserer gemeinsamen Kunden zu verringern – genau das, was sie eigentlich verbessern sollten.”
Hat sich das seitdem verbessert? Ich möchte dran zweifeln, wenn ich zurück denke, was für Probleme ich selber mit einer kommerziellen Antivirensoftware und manch anderen Produkten im Firmenumfeld in den letzten Jahren so gesehen habe. Oft genug musste man die Sicherheit des Systems verringern, um Funktionen der nachinstallierten Antivirensoftware nicht zu behindern.
Firewall, Kinderschutz, Webfilter, Mailfilter, Spamfilter, Sicherer Browser
In vielen Berichten liest man über den Defender als “Grundschutz”, weil er ja die ganzen zusätzlichen Funktionalitäten nicht mitbringen würde, die andere Hersteller mit ihren Sicherheitssuiten mitliefern.
Nun, alles davon, was sinnvoll ist, gibt es schon dort, wo es hingehört: entweder im System oder in den jeweiligen Anwendungen. Eine Firewall bringt Windows mit. Einen Kinderschutz bringt Windows mit. Einen Webfilter bringt Windows in Form des Smartscreen-Filters auch mit. Mail sollte beim Provider gefiltert werden, bevor sie überhaupt in mein Postfach kommt. Für Spam ist das Mailprogramm oder ebenfalls der Provider zuständig. Mailanhänge werden dann vom Defender gescannt, wenn sie auf die Disk geschrieben werden. Und an sich erwarte ich von jedem Browser, dass er im Grundsatz schon so sicher ist, dass ich damit Onlinebanking machen kann und will.
Was genau soll jetzt daran sicher sein, wenn jemand einen Firefox oder Chromium Quellcode nimmt, diesen irgendwie verändert und dann Wochen oder Monate damit zurück hängt, ihn aktuell zu halten? Wenn in Firefox oder Chromium heute Sicherheitslücken gefixt werden, dann muss der Firefox oder Chromium heute aktualisiert werden. Was genau ist sicher dran, wenn der Anbieter der Sicherheitssuite diese Änderungen erst ins eigene Produkt übernehmen und dieses updaten muss? Sobald die neue Firefox oder Chromium Version draußen ist, sind die Lücken öffentlich bekannt und können ausgenutzt werden. Und das werden sie auch!
All diese Komponenten, die viele der Suiten mitliefern, blähen das System unnötig auf. Sie sind mögliche Angriffsziele. Und natürlich können solche Funktionen auch ihrerseits zu Fehlern führen.
Wenn der Virenscanner zum Problem wird
In manchen Foren wird mittlerweile bei nahezu jeglichen Problemen vehement und quasi zuallererst dazu geraten, zuerst mal eventuell nachinstallierte “Sicherheitssoftware” zu deinstallieren. Egal ob es im Lautsprecher knackst (der Virenscanner könnte ja den Treiber stören) oder ein Windows Update einfach nicht will. Oft entsteht daraus wieder eine dieser Diskussionen, die ich mit diesem Artikel ja etwas mit Hintergrund versorgen will. Ist das sinnvoll und notwendig?
Zuerst einmal muss man dran denken, dass es momentan über eine Milliarde Windows 10 Installationen gibt. Dazu kommen noch eine Reihe älterer Windows Versionen. Die große Masse davon läuft, hat meist irgendeinen Virenscanner installiert, bekommt die monatlichen Updates – und das ganz unabhängig davon, ob der Hersteller des Virenscanners nun Avira, Kaspersky oder Microsoft heißt. Der Betrieb irgendeines Virenscanners muss also nicht grundsätzlich und immer zu Problemen führen.
Umgekehrt wird ein Schuh draus: wenn es mit einem System bestimmte Probleme gibt, dann sind vergleichsweise häufig nachinstallierte Virenscanner oder Sicherheitssuiten darin verwickelt. Typische Fehlerbilder sind Bluescreens oder diverse Probleme bei Windows Updates und Upgrades.
Auch stellen mittlerweile einige Virenscanner die Windows Firewall oder die Datenschutzeinstellungen von Windows nach ihrem Gusto ein und produzieren damit möglicherweise Probleme. Schwierigkeiten bei Netzwerkverbindungen oder seltsame Fehlermeldungen im Browser sind auch ein typisches Zeichen für Probleme, die gern aus Richtung der nachinstallierten Wächter kommen.
Auch zeigen sich gerne mal Probleme durch Virenscanner darin, dass Windows beim Start das Benutzerprofil nicht laden kann. Der Virenscanner hat die Hand auf irgendeiner Datei, die Windows grad öffnen möchte. Der Virenscanner gewinnt, Windows bekommt keinen Zugriff, der Nutzer verliert.
Genau das sind auch typische Gründe für die Problematik: alles was Windows nutzen will, muss der Virenscanner scannen. Gibt’s dabei ein Problem, bekommt das System keinen Zugriff. Und irgendwas geht dann eben nicht. Gerade bei Updates und Upgrades passieren irrsinnig viele Dinge im Hintergrund. Massen an Daten werden geschrieben, verschoben oder auch nur gelesen. Die Registry wird verändert. Zwischen all diesen Prozessen steckt der Virenscanner, der mit seiner Verhaltenserkennung (“raten”, siehe oben) entscheiden will, ob das alles grad völlig legitim ist. Nebenbei arbeitet der User auch oft noch weiter und sorgt für noch mehr Arbeit für den Virenscanner. Eine Fehlentscheidung auf dessen Seite und es knallt.
Und neue Windows Updates bringen ja gerade in Sachen Sicherheit öfter Veränderungen. Upgrades auf neue Versionen erst recht. Die Hersteller müssen die Preview-Phasen nutzen, um ihre Software anzupassen. Schaffen sie das? Sind zum Release einer neuen Windows Build schon alle Produkte darauf angepasst? Gerade Virenscanner arbeiten ja, wie wir schon bemerkt haben, sehr tief im System. Änderungen, die Microsoft im System macht, z.B. um die tatsächliche Sicherheit des Systems zu verbessern, sorgen möglicherweise für notwendige Anpassungsarbeiten in Virenscannern. Eventuell wirkt sich eine neue Sicherheitsfunktion in Windows auf irgendeine Funktion in einem Antivirus Filtertreiber aus. Wann stehen diese in angepassten Versionen zur Verfügung? Beim Defender ist das klar: mit dem Release der neuen Windows Version.
Also deinstalliert man beim Auftauchen von bestimmten Problemen die nachinstallierte “Sicherheitssoftware”. Ob man das aber nun bei wirklich jedem einzelnen Problem zuallererst empfehlen muss, das darf man schon bezweifeln. Ab einem bestimmten Punkt, bzw. bei bestimmten Problembildern ja. Wenn man bei der Fehlersuche nicht weiter kommt, sicher. Aber nicht bei jedem einzelnen Problem.
Nun hat man natürlich nicht Lust, bei all solchen Problemen jedes Mal testweise den Virenscanner zu deinstallieren und dann hinterher wieder zu installieren.
Die Lösung ist auch da einfach: deinstalliere ihn, installiere ihn nicht wieder.
Aber ich vertraue Microsoft einfach nicht!
Dann verzichte auf deren Produkte!
Es ist völlig schizophren, auf der einen Seite Windows einzusetzen, möglicherweise auch Microsoft Office und einige Microsoft Dienste und diesen quasi alles anzuvertrauen, auf der anderen Seite dann aber zu bezweifeln, dass Microsoft einen brauchbaren Virenscanner hinbekommen würde. Oder zu glauben, man müsse ja Windows einsetzen, aber irgendwie so abschotten, dass Microsoft das nicht mitbekommt.
Es gibt für manche Leute sicherlich gute Gründe, Microsoft nicht zu vertrauen. In meinen Augen gibt es stattdessen viel mehr Gründe bei manch anderen Firmen. Aber wenn man es auf die Spitze treibt, dann muss man deren Produkte halt schlicht vermeiden.
Der tschechische Anbieter Avast ist letztens negativ aufgefallen, weil er einfach mal die Kundendaten seiner Kunden an andere Anbieter verkauft hat. Ups, hat dummerweise jemand rausgefunden. War nicht so gut fürs Image und man hat die Tochterfirma, die damit Geld verdient hat, dann schnell zugemacht. Trotzdem installieren manche Leute weiter deren Software. Avast hat übrigens 1600 Mitarbeiter. Avira hat insgesamt wohl gut 500 Mitarbeiter, Kaspersky hat 3900, Trend Micro gut 5000.
Microsoft hat 150.000 Mitarbeiter. Alleine die Anzahl der Mitarbeiter, die bei Microsoft mit dem Thema Sicherheit beschäftigt sind, dürfte die Anzahl der gesamten Mitarbeiterschaft eines jeden der anderen drei Anbieter übersteigen.
Microsoft baut das Betriebssystem selber. Seit Jahren ist das Thema Sicherheit eine grundlegende Komponente bei allem, was dort entwickelt wird. Alle möglichen Sicherheitsthemen werden von Microsoft angeschoben, oft weit über das hinaus, was nur Windows selber angeht. Und gerade die sollen an einem Virenscanner scheitern?
Wie gesagt, auch die machen Fehler. Auch im Defender gab es schon Sicherheitslücken. Meiner Einschätzung nach ist die Chance dafür aber deutlich geringer als bei manchen überzüchteten Mega-Super-100%-Glücklich-Sicher-Suiten.
Was mehr kostet, muss mehr können. Oder?
Wenn gar nichts mehr hilft, kommt noch der Hinweis, dass ja Defender kostenlos sei. Die anderen Anbieter hätten auch kostenlose Lösungen und die wären immer abgespeckt. Da wäre der Defender ja auch nur abgespeckt oder so. „Grundschutz” halt.
Der Defender ist nicht kostenlos! Du hast ihn mit deiner Windows Lizenz zusammen erworben. Microsoft will dir auch keine irgendwie geartete “professionelle” Version verkaufen. Selbst im Business-Umfeld wird der Defender nicht etwa durch eine “bessere” Lösung ersetzt, sondern nur anders verwaltet und kann Informationen an ein zentrales Management berichten. Das, was Windows mitbringt, ist keine irgendwie abgespeckte Lösung, die für den anspruchslosen Privatnutzer gerade mal eben so reicht. Manch einer mag das gerne vergessen.
Fazit
Der Windows Defender ist als Virenscanner nicht nur ausreichend, sondern im Vergleich zu vielen anderen nachinstallierten Lösungen auch zu empfehlen. Nicht weil der in Sachen Sicherheit dem Rest überlegen wäre, sondern weil er selber die Sicherheit und Stabilität des Systems weniger gefährdet als der Rest.
Für die tatsächliche Sicherheit des Systems wichtiger sind regelmäßige und zügige Updates des Systems und aller verwendeter Software und Treiber. Weniger ist Mehr, die Verringerung der Angriffsfläche ein wichtiges Ziel. Also weniger unsinnige Komponenten, die installiert werden. Kritisches Nachdenken ist sinnvoll, bevor Knöpfe geklickt und Programme heruntergeladen werden. Sichere Quellen für Downloads sind sinnvoll. Eine sichere Grundkonfiguration des Systems, des Browsers und ein grundsätzlich vorsichtiges Verhalten sind wichtig.
Der Windows Defender ist dann am Ende der oben schon erwähnte Airbag, der hoffentlich nur noch zum Einsatz kommt, wenn alle Sicherheitsfunktionen inklusive des Nutzers versagt haben.
Ingos Blog 
Cooler Artikel, Ingo! Habe mir mal erlaubt, ihn auf LinkedIn zu posten.
Pingback: Mal wieder was zum Thema Virenscanner in Ingos Blog | Michael-Floessel.de – Blog
Sehr guter Artikel. Ich werde meinen Firefox für minsestens ein Jahr ausschalten und beobachten ob etwas passiert.
Firefox? Ausschalten? Sicher, dass es um einen Kommentar zu meinem obigen Beitrag geht?
Hallo Ingo,
danke vielmals für diese Ausführungen. Seit Monate bekomme ich flüchtige Drohungen auf dem Bildschirm von vielen bekannten Sicherheitsfirmen. Unter anderem die Drohung: wenn kein Antivirusprogramm kaufen, dann wird Ihr PC abgeschaltet!!! Inzwischen lache ich darüber, aber die Störung etwa aller halbe Stunde ist Wahnsinnig. Wie schaltet man sowas ab; Ich finde weiterhin merkwürdig, dass die Banken ein sicheres Antivirusprogramm zu installieren. Wie kommen die Banken dazu??
MfG
Joannis
Ich nehme an, dass das eher Werbebanner sind. Ein Adblocker wie uBlock Origin im Webbrowser sollte helfen.
Möglicherweise ist auch schon irgendwelche Werbesoftware installiert worden. Leider fallen viele Leute auf vermeintlich vertrauenswürdige Downloadportale wie CHIP.de oder Computerbild herein. Die bieten einem häufig spezielle Installer für Software an, die dann ordentlich Werbesoftware mit installieren. In dem Fall könnte man den installieren Werbemüll z.B. durch einen Scan mit dem Adwcleaner entfernen. https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Die Banken fordern normalerweise einfach, dass auf dem PC ein aktuelles Antivirenprogramm installiert und aktiv ist. Das ist seit Windows 8 bei jedem Windows standardmäßig der Fall.
Ich denke nicht, dass heute noch eine Bank ernsthaft fordert, dass man unbedingt eine andere Software installieren müsse. Falls doch, wäre das ja kontraproduktiv, wie im Blogartikel ja ausführlich erklärt.
Kurz vor Weihnachten musste ich etwas unfreiwillig mein nun schon 9 Jahre altes Notebook neu aufsetzen. Da habe ich mich an deinen Tipp erinnert, den ich mir gespeichert hatte.
Eine saubere Neuinstallation mit aktuellem Windows, Office 365, 2 Programmen, die ich zum Arbeiten brauche und fertig. Mein Abo für die Virensoftware hatte ich zuvor schon gekündigt. Und das alte Ding läuft wieder wie eine 1! Ich freunde mich sogar schon mit Edge an, den ich bisher verschmäht hatte. Aber in der neuen Version ist der Browser gar nicht mal so schlecht. Jetzt macht das Arbeiten wieder Spaß. Ohne unnötigen Ballast läuft das Ding einfach wieder flott.
Ich hatte mich davor schon öfter gefragt, ob ich all das brauche. Da war dein Artikel regelrecht die erlösende Antwort darauf. NEIN! Brauch ich alles nicht. Danke, das hat mir viel Nachdenken und Grübeln erspart. Und ich fühle mich genauso sicher wie zuvor.
Danke für die Rückmeldung. Wobei eines falsch ist: du sollst dich nicht wegen eines einfachen Stücks Software sicher fühlen! Das wäre der falsche Weg.
Eine gewisse Vorsicht und Skepsis bei Downloads und oder dem Besuch von Webseiten ist sicherlich eher angebracht, als sich fälschlicherweise in Sicherheit zu wähnen. Im Ernstfall versagen alle Virenscanner – auch der Defender.
Ja, da hast du natürlich Recht. Da ich aber kein begeistertet und experimenteller Softwaretester bin hatte ich in meiner nun schon recht langen PC-Karriere ohnehin erst einmal einen nervigen Virus eingefangen. Aber wie du richtig sagst, Vorsicht ist immer angebracht. Nur läuft mein altes Ding ohne zusätzliche Virensoftware einfach runder und flotter.
Hallo Ingo,
lese heute zum ersten Mal mit und bin selber kein PC-Profi. Deshalb zwei evtl. ‚dumme‘ Fragen:
1. Manche Leute bieten spez. Banking-Software/(Browser) an, die verhindern sollen, dass sich jemand einklinken kann – deine Meinung?
2. Viele preisen aus den genannten Sicherheitsgründen das Linux-OS an – sinnvoll?
Schönes Wochenende
Rudi
Zu den „Banking-Browsern“ hatte ich an sich im Artikel schon etwas geschrieben. Davon halte ich nichts, denn solch eine Lösung basiert immer auf einem der bekannten offenen Browser (also Firefox oder Chromium) und kann nie so aktuell sein, wie diese es sind. Sicherheitslücken, die darin behoben werden, werden möglicherweise erst viel später oder auch gar nicht in solchen Browsern behoben.
Linux ist da ein ganz anderes Thema. Aktuell ist Linux auf dem Desktop quasi nicht relevant und daher werden Linux-Nutzer auch nicht so massiv angegriffen wie Windows-Nutzer. Dort wo Linux auf dem Desktop genutzt wird, handelt es sich oft um verwaltete Systeme, d.h. Nutzer ohne administrative Rechte. Das ist für entsprechende Kriminelle offenbar aktuell kein interessantes Ziel, wenn jenseits von 80% der PC-Nutzer sowieso Windows nutzt und der größte Teil vom Rest macOS.
Inwiefern ein Linux selbst beim normalen Anwender wirklich insgesamt sicherer ist, vermag ich nicht zu beurteilen. Die aktuell üblichen Angriffe greifen dort allerdings größtenteils nicht, da sie nun einmal auf Windows- und zum Teil auf macOS-Nutzer zugeschnitten sind.
Letztlich funktioniert dieser „Schutz“ nur so lange, wie das System nicht nennenswert im Desktop-Umfeld verbreitet ist. Dass sich Kriminelle auch abseits von Windows mit passenden Methoden auf andere Systeme stürzen, haben macOS oder Android ja wunderbar gezeigt. Sobald Linux auf dem Desktop ein Ziel wird, welches den Aufwand lohnt, wird man sicherlich auch dort Wege finden, den Nutzer anzugreifen.
Danke für dein Feedback, Ingo. Bleibt als Alternative zu Banking Browsern wohl nur, Bankgeschäfte – egal mit welchem Browser – über die Windows eigene Sandbox zu tätigen, um wirkliche Sicherheit zu haben …
Nein, das wäre Unsinn. Die Sandbox ist nicht dafür gedacht, einen möglichst sicheren Bereich für die Ausführung sensitiver Dinge zu haben, sondern einen Bereich, in dem man Dinge ausführen soll, von denen man nicht weiß, ob sie für den PC problematisch sind.
Wichtiger als nun speziell das Onlinebanking abzuschirmen, welches normalerweise noch über weitere Wege (zweiter Faktor) abgesichert sein sollte, wäre es, auf dem PC einfach von Anfang an nicht jeden Mist aus dem Netz auszuführen. Ein Adblocker im Browser, Verzicht auf überflüssige Tools aus dubiosen Quellen und aktuelle Softwareupdates, das ist alles viel wichtiger als irgendwo das Onlinebanking mit zusätzlicher Sicherheit erschlagen zu wollen.
OK, Ingo – wieder was dazugelernt. Das Problem – vor allem für weniger Versierte – bleibt allerdings: Was sind „überflüssige“ Tools bzw. der Mist, den man nicht runterladen sollte …?
Sind z.B. aus den genannten Schutzbedürfnissen heraus ein Tor-Browser oder ein Keyboard-Guard, Windows-Immunisierer (spybot), Erpresserviren-Stopper,usw. (siehe auf: https://www.computerbild.de/fotos/Sicher-surfen-Die-besten-Anti-NSA-Downloads-8794692.html#1) überflüssig?
Ohne jetzt auf jedes der 88 Tools aus der Bildersammlung dort einzugehen: die große Masse wird schlicht überflüssig sein. Zudem man dort halt auch fröhlich „Sicherheit“ und „Privatsphäre“ durcheinander würfelt und von E-Mail-Verschlüsselung über alternative Suchmaschinen bis zu den üblichen Schrott-Tools zum Vermurksen von Windows-Installationen so alle möglichen Dinge in einer langen Sammlung aufzählt, die oft wenig miteinander zu tun haben.
Manche Dinge sind in verwalteten Firmennetzen sinnvoll, wo Admins einen PC so „zunageln“, dass die Nutzer damit nur ganz bestimmte Dinge machen können. Manche Dinge mögen in ganz bestimmten Szenarien sinnvoll sein, wo es ein konkretes Problem zu lösen gibt. Einfach mal zur allgemeinen Verbesserung eine Reihe von Dingen zu installieren führt normalerweise aber nicht zu mehr Sicherheit oder Privatsphäre.
Ganz allgemein hatte ich es ja schon im Artikel selbst geschrieben: grundsätzlich ist für Sicherheit normalerweise „weniger ist mehr“ eine gute Basis.
Ich überlege schon eine Zeit an einem Artikel zu dem Thema, wo ich ein wenig beleuchte, was man m.E. mit Bordmitteln oder wenigen zusätzlichen Tools sicherer machen kann. Die Sache ist aber nicht ganz einfach, denn so wirklich viele sinnvolle Möglichkeiten, um dort nachhaltig etwas zu erreichen, gibt es m.E. auch nicht.
Nochmals vielen Dank für die guten Infos, lieber Ingo. Durch das Rauswerfen aller externen Antiviren-, Anti-Malware und Anti-Ransome etc. -Software hat sich nicht nur ein zusätzlicher Speicherplatz von mehreren GB ergeben, sondern der Compi ist nun tatsächlich deutlich schneller – sowohl beim Rauf- bzw. Runterfahren als auch bei der Arbeit. Und das, obwohl ich die meisten Programme nicht über den Autostart laufen ließ.
Bei Windows habe ich im im Bereich „Windows-Sicherheit“ alles, was ging, hochgefahren – es gibt dort ja sogar einen „Exploitschutz“ … – und bin so hoffentlich einigermaßen sicher unterwegs.
Außerdem bin ich aber gespannt auf deinen Artikel zur Bordmittelsicherung bzw. den „ausgesuchten“ Tools zur weiteren Sicherheit.
Viel Glück dazu und nochmals herzlichen Dank für die vielen Mühen, die du unternimmst.
Rudolf
Cooler Stuff, dein Artikel, Ingo. Danke. Vielleicht noch ein ergänzender Gedanke zum Thema Vertrauen: Microsoft braucht Kundenvertrauen (ich verfolge gerade eine Artikelserie von einem Hr. Langkabel wg. Telemetrie, Datenschutz & Co.). Ich denke, Microsoft kann es sich gar nicht leisten, mit unseren (persönlichen) ähnlich wie z. B. Avast umzugehen. Selbst Facebook hat mit seiner neuen AGB einen Dämpfer erhalten.
Hallo Ingo,
Ich habe jetzt deinen Kommentar nicht vollständig gelesen, jedoch bist du der Meinung, der Windows Defender würde ausreichen, um zumindest die Sicherheit zu bieten, die man braucht, um nur annähernd einen gewissen Schutz zu haben, den natürlich in Wirklichkeit kein Virenscanner bieten kann, so in einem deiner Kommentare, womöglich ist es auch dieser hier verfassten Kommentar.
Jetzt wird aber auch von vielen renommierten Redakteuren diverser Fachzeitschriften z.B. „McAfee“ als ein sehr guter Virenscanner ausgewiesen, der ja auch vor gefährlichen Webseiten warnt (was ja nicht zum Nachteil ist), was der Windows Defender nicht tut und auch sonst noch bestimmt irgendwelche positive Funktionen besitzt, denn wie sollte man sonst Webseiten, die als gefährlich eingestuft werden, erkennen, ins besondere, wenn man noch keine großen Erfahrungen mit dem Internet gemacht hat.
Ich hatte schon verschiedene Virenscanner auf meinen Rechner installiert gehabt, manche verursachten auch einige Probleme, indem ich den Virenscanner erst deinstallieren musste, damit Windows Updates wieder funktionierte, da der Virenscanner die Updates ausbremste. Wahrscheinlich sind die Virenscanner für noch einige andere Funktionsstörungen mit verantwortlich, sowie so manche Optimierungs-Softwares es auch sind.
Über den Virenscanner McAfee kann ich mich bisher noch nicht beschweren, läuft alles noch rund. Sollte er mir aber irgendwelche Schwierigkeiten bereiten, war auch das der letzte Virenscanner den ich Installiert habe. Verschiedene Optimierungssoftwares, die ich auf meinen Rechner schon hatte, kommt mir nicht mehr auf meinem PC, auch sonst keine Tools.
E.R.
Alle großen, aktuellen Browser haben einen solchen Schutz bereits von Haus aus eingebaut. Damit ein Virenscanner hier eingreifen kann, muss er den Verkehr des Browsers scannen, was seinerseits Probleme verursachen kann.
„Ich habe jetzt deinen Kommentar nicht vollständig gelesen“
Solltest du vielleicht mal tun, ist wirklich gut, beantwortet nämlich mMn alle deine Punkte bereits.
„Jetzt wird aber auch von vielen renommierten Redakteuren diverser Fachzeitschriften z.B. „McAfee“ als ein sehr guter Virenscanner ausgewiesen“
Was man von vielen Fachzeitschriften oder Herstellern, die vorallem McAfee dank Werbevertrag mit McAfee empfehlen/vorinstallieren (ACER z.B.) sollte eigl mittlerweile bekannt sein. Würde mich mal interessieren von welchen renommierten Redakteuren diverser Fachzeitschriften du da sprichst. Jetzt sag bitte nicht Chip oder Computerbild…
„der ja auch vor gefährlichen Webseiten warnt“
Oder besser, eine Host-Liste installieren, wie z.B.: die Steven Black Hosts, dann muss gar nicht erst gewarnt werden, jegliche Kommunikation mit den gefährlichen Seiten wird von vorneherein unterbunden und das mit Bordmitteln.
Gruß, Marv
Ergänzung: Wobei natürlich auch der Schutz per Hosts weit davon entfernt ist perfekt zu sein. Aber mMn sind Bordmittel, die keine extra Softwareinstallation immer extra Tools vorzuziehen. Den Rest erledigt dann hoffentlich brain.exe.
Andererseits: Ich versetze mich in die Rolle eines Virenschreibers. Ich wäre doch mit dem Klammerbeutel gepudert, wenn mein Virus ausgerechnet denjenigen Virenscanner nicht austricksen kann, der am häufigsten installiert ist, der mit Windows sogar gleich mitgeliefert wird – und ich den Virus trotzdem freisetze. Gleich morgen wird er dann dem Defender bekannt sein, und kurz darauf allen anderen Virenscannern auch, und das war’s dann.
Dann brauche ich erst gar nicht anzufangen, wenn mein Virus nicht mal mit dem Defender fertig wird. Den Defender auszutricksen, das ist das unterste Minimum, was mein Virus leisten können muss.
Unabhängig davon, wie gut der Defender also ist, bzw. wie viel Gehirnschmalz Windows in den Defender setzt, ist _der_ Scanner als erstes dasjenige Ziel, das alle Virenschreiber erfolgreich umgehen — einfach weil die Virenschreiber von allen Virenscannern _den_ Scanner am meisten im Blick haben und ihren Virus noch nicht loslassen, bevor er „Defender-tauglich“ ist.
– – Wechseln wir jetzt wieder zur Perspektive eines Windows-Anwenders. Es macht einfach wenig Sinn, seine Hoffnungen und seine Sicherheit ausgerechnet nur auf dem Defender aufzubauen. Das ist derjenige Scanner, der ausgetrickst wird. Das ist derjenige Scanner, der gegen die Bedrohungen noch am wenigsten bewirken kann, weil alle Bedrohungen dieser Erde ausgerechnet _diesen_ Scanner zuerst zu umgehen versuchen.
Auf irgendeinem _anderen_ Virenscanner, der seine Arbeit gut macht und weltweit nicht allzu sehr verbreitet ist. Aber _nicht_ auf dem Defender.
Dein Konzept nennt sich „Security by obscurity“ und funktioniert nicht.
Darauf zu hoffen, dass die Entwickler von Malware den eigenen Virenscanner nicht zu umgehen versuchen, nur weil er ziemlich unbekannt ist, funktioniert – wenn überhaupt – so lange, bis dieser doch eine gewisse Bekanntheit bekommt. Entsprechende Umgehungsfunktionen für alle halbwegs relevanten Virenscanner finden sich in den entsprechenden Foren und sind demnach den Malware-Entwicklern auch bekannt.
Entsprechende Malware-Samples werden von deren Entwicklern sicherlich über Virustotal oder ähnliche Dienste gegen quasi alle aktuell verfügbaren AV-Engines getestet, bevor sie verteilt werden. Ich denke nicht, dass du einen guten Virenscanner finden wirst, der dort nicht in der Liste der Scanner auftaucht.
Wem sagst du das? Die Geschichte dreht sich doch immer wieder neu, mit jeder Generation und allen Leuten, die keine Ahnung haben wie man sich im Internet verhalten sollte. Möglichst auch so, das nicht ständig neue Gesetze das Internet einschränken. Es gibt ja einige wichtige Tools, die man einfach nicht beim Namen nennen darf weils böse böse böse ist und ohne Gewissen. Aber heutzutage kannste dir ohne schlechtes Gewissen ein AdBlocker runterladen. Ohne AdBlocker sollte man nicht ins Internet ^^
Wer gewisse Regeln einhält, braucht sich um Viren und das ganze zeug, eigentlich, keine große Sorgen machen.
Klick nicht auf Links. Auch nicht auf dubiosen Seiten.
Block möglichst die Werbung weg.
Pop-Up Blocker aktivieren oder eben so einstellen das man manuell bestätigt.
Usw.
Usf.
Seitdem hab ich, hoffe das bleibt so, keine Probleme.
Gerade durch Zufall über diesen Artikel gestoßen!
Ich empfehle schon seit einiger Zeit das der Defender der „beste“ Virenscanner ist den du für Windows einsetzen kannst.
Wozu Fremdsoftware wenn dir MS kostenlos einen mit an Board liefert?
Wirklich super Artikel den ich gespeichert habe und dem ein oder anderen mal unter die Nase binden werde 🙂