Abo
  • Services:
Anzeige
Sind Antivirenprogramme so nutzlos wie Schlangenöl? Die Schutzprogramme sind selbst voller Sicherheitslücken und äußerst umstritten.
Sind Antivirenprogramme so nutzlos wie Schlangenöl? Die Schutzprogramme sind selbst voller Sicherheitslücken und äußerst umstritten. (Bild: Jeremy Weate/Wikimedia Commons/CC-BY 2.0)

Komplexe Parser mit wenig Schutz

Dass Antivirensoftware nicht den besten Ruf genießt, hat sich inzwischen herumgesprochen, und einige Hersteller nutzen andere Bezeichnungen dafür. Doch die Probleme sind grundsätzlich für alle Ansätze, die versuchen, bösartige Software oder bösartigen Code zu erkennen, dieselben - die Umbenennung löst keine Probleme. Ob Endpoint Protection, Intrusion-Detection- und Intrusion-Prevention-Systeme oder Web Application Firewalls - hinter vielen Begriffen verbirgt sich nichts anderes als eine Antivirensoftware.

Anzeige

Die grundsätzlichen Probleme bestehen weitgehend unabhängig davon, ob die Antivirensoftware auf dem Client oder auf Netzwerkebene arbeitet. In beiden Fällen können Sicherheitslücken in der Sicherheitssoftware selbst zu katastrophalen Folgen führen.

Signaturansatz überholt

Antivirenprogramme gab es bereits auf Amiga-Computern und in der Zeit von MS-DOS. Doch die Situation damals war eine grundsätzlich andere. Es gab Listen mit allen bekannten Viren und Trojanern, die einige Tausend Einträge umfassten. Die wenigsten davon waren jedoch tatsächlich aktiv, viele fand man nur in den Sammlungen von Antivirenherstellern. Antivirenprogramme arbeiteten überwiegend mit Signaturen, beispielsweise, indem Prüfsummen von bösartigen Programmen verglichen wurden, oder direkt durch die Erkennung von entsprechenden Codeteilen.

Dieser Ansatz hat sehr naheliegende Grenzen: Während früher einige Tausend Varianten von Schadsoftware bekannt waren, gibt es heutzutage jeden Tag neue Malware. Der Ansatz, nur bekannte Malware zu erkennen, ist längst nicht mehr praktikabel. Davon kann man sich auch leicht überzeugen: Wenn man eine aktuelle Malware, die man per E-Mail bekommt, über den Service Virustotal prüft, ist es absolut üblich, dass nur ein kleiner Bruchteil der dort getesteten Programme diese erkennt. Die Signaturen können schlicht nicht schnell genug aktualisiert werden.

Mehr Komplexität bedeutet mehr Angriffsfläche

Moderne Antivirensoftware versucht daher, intelligent zu arbeiten und das Verhalten von bösartigen Programmen mit zahlreichen Methoden zu erkennen. Das führt zu einer enormen Komplexität und damit naheliegenderweise zu Risiken. Antivirensoftware enthält unzählige Parser für viele sehr komplexe Dateiformate. Genau das Parsen von komplexen Formaten ist aber die häufigste Quelle für Sicherheitslücken.

Die Beispiele dafür sind praktisch endlos. Für einige Schlagzeilen sorgten mehrere Lücken in Geräten des Herstellers Fireeye. Dessen Geräte nutzten eine Reihe von schlecht gemaintainten Open-Source-Tools, um Dateien zu analysieren. Fireeye machte sich zudem wenig Freunde damit, dass die Firma die Veröffentlichung der Details von Sicherheitslücken juristisch verhinderte.

Das Dilemma: Je intelligenter die Antivirensoftware versucht zu arbeiten, umso größer wird die Angriffsfläche. Deutlich wird das an einer Lücke, die Tavis Ormandy in Comodos Antivirus entdeckte: Dieses Programm startete verdächtige Software zunächst in einer emulierten Umgebung und implementierte Teile des Windows-APIs. Doch eine solche Emulationsumgebung kann von Malware unter Umständen erkannt werden. Um das zu verhindern, leitete Kaspersky Systembefehle, die die Emulationsumgebung nicht unterstützte, zu den echten Systembefehlen unter Windows um. Dass das dazu führte, dass Malware aus ihrer Emulationsumgebung ausbrechen kann, ist wenig überraschend.

Oft widerspricht Sicherheitssoftware guter IT-Sicherheitspraxis in einem grundlegenden Punkt: Mehr Sicherheit lässt sich oft am besten durch weniger Komplexität erreichen. Zusätzliche Software bedeutet mehr Angriffsfläche und mehr Potenzial für Fehler.

Ein sehr viel grundsätzlicherer Einwand gegen Antivirenprogramme hat mit einem sehr zentralen Satz aus der theoretischen Informatik zu tun, dem sogenannten Halteproblem.

 Antivirensoftware: Die Schlangenöl-BrancheNiemand löst das Halteproblem 

eye home zur Startseite
Epaminaidos 03. Jan 2017

Besser spät als nie: die normale Warnung vor Makros könnte ersatzlos entfallen. Denn...

helgebruhn 02. Jan 2017

Andere Frage: WARUM sollte deine Mutter ein neues OS nutzen, was auf dem PC kaum noch...

helgebruhn 02. Jan 2017

Selbst wenn, lieber 60% dank Virenscanner, als 0% ohne oder? :) 100% sicher ist nur...

helgebruhn 02. Jan 2017

Es gibt aber nunmal leider KEINE regelmässigen und oft erscheinenden Patches/Updates...

helgebruhn 02. Jan 2017

Tot? Du weisst schon, dass in den USA mehr als die Hälfte der Menschen Applegeräte...



Anzeige

Stellenmarkt
  1. Basler AG, Ahrensburg bei Hamburg
  2. Springer Nature, Berlin
  3. USU AG, Möglingen bei Stuttgart oder Home-Office deutschlandweit
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Top-Angebote
  1. 47,99€
  2. und For Honor oder Ghost Recon Wildlands kostenlos erhalten
  3. (-17%) 49,99€ - Release am Donnerstag

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Energielabels

    Aus A+++ wird nur noch A

  2. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  3. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  4. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  5. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  6. Ab 2018

    Cebit findet künftig im Sommer statt

  7. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  8. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  9. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme

  10. Stack Overflow

    Deutsche Entwickler fühlen sich unterbezahlt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Buch - Apple intern: "Die behandeln uns wie Sklaven"
Buch - Apple intern
"Die behandeln uns wie Sklaven"
  1. Earbuds mit Sensor Apple beantragt Patent auf biometrische Kopfhörer
  2. Apple Park Apple bezieht das Raumschiff
  3. Klage gegen Steuernachzahlung Apple beruft sich auf europäische Grundrechte

Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Facebook & Co Bis zu 50 Millionen Euro Geldbuße für Hasskommentare
  2. OCP Facebook rüstet das Rechenzentrum auf
  3. Social Media Facebook verbietet Datennutzung für Überwachung

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

  1. Re: Betrifft alle Streamer?

    Apfelbrot | 03:03

  2. Re: Problem erkannt, Problem wiederholt.

    GenXRoad | 02:59

  3. Re: Leider alternativ-los...

    Apfelbrot | 02:59

  4. Re: Nonsense!

    Apfelbrot | 02:57

  5. Re: Braucht man das? (Ernst gemeinte Frage)

    Apfelbrot | 02:45


  1. 18:59

  2. 18:42

  3. 18:06

  4. 17:39

  5. 17:10

  6. 16:46

  7. 16:26

  8. 16:24


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel