Sicherheitssoftware: gehackt statt geschützt

Die Sicherheitsfirma Trend Micro schloss im Frühjahr 2020 gleich fünf Sicherheitslücken in ihrer Antivirensoftware - davon wurden zwei bereits aktiv ausgenutzt. Über die Sicherheitslücken war es möglich, Code aus der Ferne auszuführen sowie Komponenten der Software zu manipulieren.

Allerdings benötigten die Angreifer hierzu die Anmeldedaten der betroffenen Nutzer. Insofern dürften die Angreifer die Lücken in bereits kompromittierten Netzwerken oder Systemen ausgenutzt haben, etwa um Sicherheitssoftware zu deaktivieren.

Gefährlicher waren die im gleichen Update geschlossenen Sicherheitslücken, über die auch ohne Authentifizierung aus der Ferne Code ausgeführt werden konnte - mit Systemrechten. Ein Jahr zuvor soll Mitsubishi Electric über eine Zero Day in Trend Micros Officescan gehackt worden sein. Sicherheitsprobleme in Antivirenprogrammen sind also nicht nur theoretischer Natur, sondern gefährden die betroffenen Nutzer und Unternehmen direkt.

Microsofts Verteidigungsprobleme

Ein aktuelles Beispiel ist die Sicherheitssoftware des Windows-Herstellers: Microsoft Defender. Erst vor wenigen Tagen wurde eine Sicherheitslücke (CVE-2021-1647) geschlossen, über die sich Code aus der Ferne ausführen ließ. Die Sicherheitslücke soll bereits aktiv ausgenutzt worden sein, bevor sie von Microsoft geschlossen wurde.

Auch Datenschutzeinstellungen werden von Microsofts Sicherheitssoftware als Bedrohung wahrgenommen - fragt sich nur, für wen. So überprüft Microsoft Defender auch die Einträge in der Hosts-Datei, in der Domains bestimmten IP-Adressen zugeordnet werden können. Hier lassen sich beispielsweise die Domains der Windows-Telemetrie-Server auf den lokalen Rechner umleiten. Auf diese Weise kann man verhindern, dass Telemetriedaten an Microsoft abfließen. Allerdings stuft Microsoft Defender dieses Vorgehen als "schweres Sicherheitsrisiko" ein und verwirft die Hosts-Datei.

Damit nicht genug, begann Microsoft Defender im vergangenen Jahr, eine kryptische Fehlermeldung auszugeben. Demnach überspringt die Sicherheitssoftware ein nicht genanntes Netzwerkelement, ohne dass die Nutzer eine Ausnahme festgelegt haben. Auch das ist nicht gerade vertrauenerweckend. Zwar lässt sich ein vollständiger Scan über eine Defender-Einstellung wieder aktivieren, Microsoft rät in der Dokumentation dazu jedoch ohne weitere Erläuterung davon ab, diese zu aktivieren.

Mit diesen Beispielen haben wir zwar die meisten Sicherheitslücken in Sicherheitssoftware, über die wir im vergangenen Jahr berichtet haben, abgehandelt, aber insgesamt ist das natürlich nur einen kleiner Teil aller Fälle. Das macht die Sache nur noch schlimmer.

In die Jahre davor haben wir dabei nicht einmal geschaut. So hatten nahezu alle Sicherheitssoftware-Hersteller in den vergangenen Jahren mit weiteren, schwerwiegenden Sicherheitslücken zu kämpfen.

Mit Sicherheit Probleme

Nicht umsonst bezeichnen Computersicherheitsexperten Sicherheitssoftware häufig als Schlangenöl oder Schlangenöl-Branche, weil sie sich mit den Heilsversprechen von Wundermitteln, die keinerlei nachweisbaren Effekt haben, gut vergleichen lassen.

Im Gegenteil: Sie schaffen nicht nur ein falsches Sicherheitsgefühl, sondern schaden nicht selten sogar aktiv. Das mag bei nicht mehr richtig funktionierenden Browsern, die abstürzen oder keine Lesezeichen mehr speichern können, lediglich nervig sein - im Falle von Sicherheitslücken oder gar Hacks über die vermeintlich schützende Sicherheitssoftware werden die Programme jedoch selbst zum Sicherheitsproblem. Das hat uns auch das Jahr 2020 wieder eindrucksvoll vor Augen geführt.

Immerhin lässt sich das leicht patchen: Die Sicherheitssoftware kann einfach nicht installiert oder im Falle eines bereits betroffenen Computers deinstalliert werden. Nach dem Schreiben des Artikels ist mir jedenfalls klar, dass ich auch die Anfragen von Nicht-Computer-Nerds zu Sicherheitssoftware mit "lass es sein" beantworten werde. Ähnliches ist auch immer wieder aus der Sicherheitscommunity oder von Entwicklern zu hören.