Abo
  • Services:
Anzeige
Sind Antivirenprogramme so nutzlos wie Schlangenöl? Die Schutzprogramme sind selbst voller Sicherheitslücken und äußerst umstritten.
Sind Antivirenprogramme so nutzlos wie Schlangenöl? Die Schutzprogramme sind selbst voller Sicherheitslücken und äußerst umstritten. (Bild: Jeremy Weate/Wikimedia Commons/CC-BY 2.0)

Komplexe Parser mit wenig Schutz

Dass Antivirensoftware nicht den besten Ruf genießt, hat sich inzwischen herumgesprochen, und einige Hersteller nutzen andere Bezeichnungen dafür. Doch die Probleme sind grundsätzlich für alle Ansätze, die versuchen, bösartige Software oder bösartigen Code zu erkennen, dieselben - die Umbenennung löst keine Probleme. Ob Endpoint Protection, Intrusion-Detection- und Intrusion-Prevention-Systeme oder Web Application Firewalls - hinter vielen Begriffen verbirgt sich nichts anderes als eine Antivirensoftware.

Anzeige

Die grundsätzlichen Probleme bestehen weitgehend unabhängig davon, ob die Antivirensoftware auf dem Client oder auf Netzwerkebene arbeitet. In beiden Fällen können Sicherheitslücken in der Sicherheitssoftware selbst zu katastrophalen Folgen führen.

Signaturansatz überholt

Antivirenprogramme gab es bereits auf Amiga-Computern und in der Zeit von MS-DOS. Doch die Situation damals war eine grundsätzlich andere. Es gab Listen mit allen bekannten Viren und Trojanern, die einige Tausend Einträge umfassten. Die wenigsten davon waren jedoch tatsächlich aktiv, viele fand man nur in den Sammlungen von Antivirenherstellern. Antivirenprogramme arbeiteten überwiegend mit Signaturen, beispielsweise, indem Prüfsummen von bösartigen Programmen verglichen wurden, oder direkt durch die Erkennung von entsprechenden Codeteilen.

Dieser Ansatz hat sehr naheliegende Grenzen: Während früher einige Tausend Varianten von Schadsoftware bekannt waren, gibt es heutzutage jeden Tag neue Malware. Der Ansatz, nur bekannte Malware zu erkennen, ist längst nicht mehr praktikabel. Davon kann man sich auch leicht überzeugen: Wenn man eine aktuelle Malware, die man per E-Mail bekommt, über den Service Virustotal prüft, ist es absolut üblich, dass nur ein kleiner Bruchteil der dort getesteten Programme diese erkennt. Die Signaturen können schlicht nicht schnell genug aktualisiert werden.

Mehr Komplexität bedeutet mehr Angriffsfläche

Moderne Antivirensoftware versucht daher, intelligent zu arbeiten und das Verhalten von bösartigen Programmen mit zahlreichen Methoden zu erkennen. Das führt zu einer enormen Komplexität und damit naheliegenderweise zu Risiken. Antivirensoftware enthält unzählige Parser für viele sehr komplexe Dateiformate. Genau das Parsen von komplexen Formaten ist aber die häufigste Quelle für Sicherheitslücken.

Die Beispiele dafür sind praktisch endlos. Für einige Schlagzeilen sorgten mehrere Lücken in Geräten des Herstellers Fireeye. Dessen Geräte nutzten eine Reihe von schlecht gemaintainten Open-Source-Tools, um Dateien zu analysieren. Fireeye machte sich zudem wenig Freunde damit, dass die Firma die Veröffentlichung der Details von Sicherheitslücken juristisch verhinderte.

Das Dilemma: Je intelligenter die Antivirensoftware versucht zu arbeiten, umso größer wird die Angriffsfläche. Deutlich wird das an einer Lücke, die Tavis Ormandy in Comodos Antivirus entdeckte: Dieses Programm startete verdächtige Software zunächst in einer emulierten Umgebung und implementierte Teile des Windows-APIs. Doch eine solche Emulationsumgebung kann von Malware unter Umständen erkannt werden. Um das zu verhindern, leitete Kaspersky Systembefehle, die die Emulationsumgebung nicht unterstützte, zu den echten Systembefehlen unter Windows um. Dass das dazu führte, dass Malware aus ihrer Emulationsumgebung ausbrechen kann, ist wenig überraschend.

Oft widerspricht Sicherheitssoftware guter IT-Sicherheitspraxis in einem grundlegenden Punkt: Mehr Sicherheit lässt sich oft am besten durch weniger Komplexität erreichen. Zusätzliche Software bedeutet mehr Angriffsfläche und mehr Potenzial für Fehler.

Ein sehr viel grundsätzlicherer Einwand gegen Antivirenprogramme hat mit einem sehr zentralen Satz aus der theoretischen Informatik zu tun, dem sogenannten Halteproblem.

 Antivirensoftware: Die Schlangenöl-BrancheNiemand löst das Halteproblem 

eye home zur Startseite
Epaminaidos 03. Jan 2017

Besser spät als nie: die normale Warnung vor Makros könnte ersatzlos entfallen. Denn...

helgebruhn 02. Jan 2017

Andere Frage: WARUM sollte deine Mutter ein neues OS nutzen, was auf dem PC kaum noch...

helgebruhn 02. Jan 2017

Selbst wenn, lieber 60% dank Virenscanner, als 0% ohne oder? :) 100% sicher ist nur...

helgebruhn 02. Jan 2017

Es gibt aber nunmal leider KEINE regelmässigen und oft erscheinenden Patches/Updates...

helgebruhn 02. Jan 2017

Tot? Du weisst schon, dass in den USA mehr als die Hälfte der Menschen Applegeräte...



Anzeige

Stellenmarkt
  1. Nash Direct GmbH / Harvey Nash Group, Essen, Köln, Frankfurt oder Hannover
  2. endica GmbH, Karlsruhe
  3. Wüstenrot & Württembergische AG, Stuttgart
  4. SCHUFA Holding AG, Wiesbaden


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  3. (u. a. 3 Blu-rays für 18 EUR, TV-Serien reduziert, Box-Sets reduziert)

Folgen Sie uns
       


  1. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  2. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  3. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  4. SteamVR

    Valve zeigt Knuckles-Controller

  5. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu

  6. Galaxy J7 (2017)

    Samsung-Smartphone hat zwei 13-Megapixel-Kameras

  7. Zenscreen MB16AC

    Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

  8. Sonic the Hedgehog

    Sega veröffentlicht seine Spieleklassiker für Smartphones

  9. Monster Hunter World angespielt

    Dicke Dinosauriertränen in 4K

  10. Prime Reading

    Amazon startet dritte Lese-Flatrate in Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Risk: Kein normaler Mensch
Risk
Kein normaler Mensch

WD Black SSD im Test: Mehr Blau als Schwarz
WD Black SSD im Test
Mehr Blau als Schwarz
  1. NAND-Flash Toshiba legt sich beim Verkauf des Flashspeicher-Fab fest
  2. SSD WD Blue 3D ist sparsamer und kommt mit 2 TByte
  3. Western Digital Mini-SSD in externem Gehäuse schafft 512 MByte pro Sekunde

Amateur-Hörspiele: Drei Fragezeichen, TKKG - und jetzt komm' ich!
Amateur-Hörspiele
Drei Fragezeichen, TKKG - und jetzt komm' ich!
  1. Internet Lädt noch
  2. NetzDG EU-Kommission will Hate-Speech-Gesetz nicht stoppen
  3. Equal Rating Innovation Challenge Mozilla will indische Dörfer ins Netz holen

  1. Re: Mich beeindruckt das nicht.

    Heinzel | 22:16

  2. Re: Mit 10.14 sind KEXT tot

    Noro_Eisenheim | 22:07

  3. Lineage unterstützung wahrscheinlich?

    Lumumba | 22:06

  4. Re: Bandbreite in Überschuss?

    DerDy | 22:04

  5. Re: CCC verwechselt Internet mit Mobilfunknetz?

    DerDy | 21:58


  1. 17:40

  2. 16:22

  3. 15:30

  4. 14:33

  5. 13:44

  6. 13:16

  7. 12:40

  8. 12:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel