Abo
  • Services:
Anzeige
Sind Antivirenprogramme so nutzlos wie Schlangenöl? Die Schutzprogramme sind selbst voller Sicherheitslücken und äußerst umstritten.
Sind Antivirenprogramme so nutzlos wie Schlangenöl? Die Schutzprogramme sind selbst voller Sicherheitslücken und äußerst umstritten. (Bild: Jeremy Weate/Wikimedia Commons/CC-BY 2.0)

Komplexe Parser mit wenig Schutz

Dass Antivirensoftware nicht den besten Ruf genießt, hat sich inzwischen herumgesprochen, und einige Hersteller nutzen andere Bezeichnungen dafür. Doch die Probleme sind grundsätzlich für alle Ansätze, die versuchen, bösartige Software oder bösartigen Code zu erkennen, dieselben - die Umbenennung löst keine Probleme. Ob Endpoint Protection, Intrusion-Detection- und Intrusion-Prevention-Systeme oder Web Application Firewalls - hinter vielen Begriffen verbirgt sich nichts anderes als eine Antivirensoftware.

Anzeige

Die grundsätzlichen Probleme bestehen weitgehend unabhängig davon, ob die Antivirensoftware auf dem Client oder auf Netzwerkebene arbeitet. In beiden Fällen können Sicherheitslücken in der Sicherheitssoftware selbst zu katastrophalen Folgen führen.

Signaturansatz überholt

Antivirenprogramme gab es bereits auf Amiga-Computern und in der Zeit von MS-DOS. Doch die Situation damals war eine grundsätzlich andere. Es gab Listen mit allen bekannten Viren und Trojanern, die einige Tausend Einträge umfassten. Die wenigsten davon waren jedoch tatsächlich aktiv, viele fand man nur in den Sammlungen von Antivirenherstellern. Antivirenprogramme arbeiteten überwiegend mit Signaturen, beispielsweise, indem Prüfsummen von bösartigen Programmen verglichen wurden, oder direkt durch die Erkennung von entsprechenden Codeteilen.

Dieser Ansatz hat sehr naheliegende Grenzen: Während früher einige Tausend Varianten von Schadsoftware bekannt waren, gibt es heutzutage jeden Tag neue Malware. Der Ansatz, nur bekannte Malware zu erkennen, ist längst nicht mehr praktikabel. Davon kann man sich auch leicht überzeugen: Wenn man eine aktuelle Malware, die man per E-Mail bekommt, über den Service Virustotal prüft, ist es absolut üblich, dass nur ein kleiner Bruchteil der dort getesteten Programme diese erkennt. Die Signaturen können schlicht nicht schnell genug aktualisiert werden.

Mehr Komplexität bedeutet mehr Angriffsfläche

Moderne Antivirensoftware versucht daher, intelligent zu arbeiten und das Verhalten von bösartigen Programmen mit zahlreichen Methoden zu erkennen. Das führt zu einer enormen Komplexität und damit naheliegenderweise zu Risiken. Antivirensoftware enthält unzählige Parser für viele sehr komplexe Dateiformate. Genau das Parsen von komplexen Formaten ist aber die häufigste Quelle für Sicherheitslücken.

Die Beispiele dafür sind praktisch endlos. Für einige Schlagzeilen sorgten mehrere Lücken in Geräten des Herstellers Fireeye. Dessen Geräte nutzten eine Reihe von schlecht gemaintainten Open-Source-Tools, um Dateien zu analysieren. Fireeye machte sich zudem wenig Freunde damit, dass die Firma die Veröffentlichung der Details von Sicherheitslücken juristisch verhinderte.

Das Dilemma: Je intelligenter die Antivirensoftware versucht zu arbeiten, umso größer wird die Angriffsfläche. Deutlich wird das an einer Lücke, die Tavis Ormandy in Comodos Antivirus entdeckte: Dieses Programm startete verdächtige Software zunächst in einer emulierten Umgebung und implementierte Teile des Windows-APIs. Doch eine solche Emulationsumgebung kann von Malware unter Umständen erkannt werden. Um das zu verhindern, leitete Kaspersky Systembefehle, die die Emulationsumgebung nicht unterstützte, zu den echten Systembefehlen unter Windows um. Dass das dazu führte, dass Malware aus ihrer Emulationsumgebung ausbrechen kann, ist wenig überraschend.

Oft widerspricht Sicherheitssoftware guter IT-Sicherheitspraxis in einem grundlegenden Punkt: Mehr Sicherheit lässt sich oft am besten durch weniger Komplexität erreichen. Zusätzliche Software bedeutet mehr Angriffsfläche und mehr Potenzial für Fehler.

Ein sehr viel grundsätzlicherer Einwand gegen Antivirenprogramme hat mit einem sehr zentralen Satz aus der theoretischen Informatik zu tun, dem sogenannten Halteproblem.

 Antivirensoftware: Die Schlangenöl-BrancheNiemand löst das Halteproblem 

eye home zur Startseite
Potrimpo 05. Okt 2017

Als Ausnahme definieren?

elcaron 28. Sep 2017

Nein, sind sie nicht. Verschlüsselung hat auf einem kompromittierten System absolut...

elcaron 28. Sep 2017

Die Browserhersteller haben es doch auch gelernt. Bei wirklich komischen Situationen...

elcaron 28. Sep 2017

Ich habe noch nie einen Online-Virenscanner benutzt (sondern nur c't desinfec't Scanner...

helgebruhn 02. Jan 2017

Selbst wenn, lieber 60% dank Virenscanner, als 0% ohne oder? :) 100% sicher ist nur...



Anzeige

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. Dataport, Altenholz bei Kiel, Hamburg
  3. ZytoService Deutschland GmbH, Hamburg
  4. SYNLAB Holding Deutschland GmbH, München, Augsburg


Anzeige
Blu-ray-Angebote
  1. 49,99€ mit Vorbesteller-Preisgarantie
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Spieleklassiker

    Mafia digital bei GoG erhältlich

  2. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  3. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  4. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  5. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  6. Die Woche im Video

    Wegen Krack wie auf Crack!

  7. Windows 10

    Fall Creators Update macht Ryzen schneller

  8. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  9. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  10. Jaxa

    Japanische Forscher finden riesige Höhle im Mond



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

  1. Re: Bahn schneller machen

    NaruHina | 08:52

  2. Re: common business

    Asthania | 08:19

  3. In der Praxis: Alles über die Server von Skype

    delphi | 06:16

  4. Re: Unity weiter nutzen

    ve2000 | 04:56

  5. Re: Darum wird sich Linux nie so richtig durchsetzen

    ve2000 | 04:44


  1. 17:14

  2. 16:25

  3. 15:34

  4. 13:05

  5. 11:59

  6. 09:03

  7. 22:38

  8. 18:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel