Virenschutz-Lösungen – modernes Schlangenöl?
In der IT-Security-Szene ist die Diskussion über die Wirksamkeit von Anti-Viren-Produkten ein Dauerbrenner. Zuletzt wurde sie durch Äußerungen von Robert O’Callahan, einem ehemaligen Mozilla-Entwickler, und Justin Schuh, Director of Chrome Security bei Google, beflügelt.
Sie behaupteten, Anti-Viren-Lösungen seien in vielen Fällen ein Hemmschuh bei der Entwicklung sichererer Browser und könnten möglicherweise die effektive Sicherheit sogar verringern. Sie verwiesen auf Tavis Ormandy, Sicherheitsforscher bei Google, der kurz zuvor in manchen Virenschutzlösungen Sicherheitslücken entdeckt hatte.
Die betroffenen Hersteller haben diese allerdings so umgehend gefixt, dass selbst Ormandy das Tempo lobte. Dennoch ging O’Callahan in einem Blog-Post so weit, Nutzern sogar zu raten, ihre Anti-Viren-Lösung zu deinstallieren!
Zudem finden sich online zahlreiche „Studien“, die belegen sollen, dass signaturbasierte Lösungen Malware-Erkennungsraten von lediglich 30 bis 40 Prozent erreichen und extrapolieren, dass der Gewinn an Sicherheit bestenfalls marginal sei.
Unter Security-Experten ist es unumstritten, dass rein signaturbasierte Malware-Erkennung allein keinen hinreichenden Schutz darstellt, insbesondere für interaktiv bediente Desktop-Systeme, bei denen Web-Surfing und E-Mail die wichtigsten Infektionsvektoren bleiben.
Die schiere Anzahl und hohe Volatilität der Malware, die sich „in-the-wild“ befindet, ist einfach zu groß. Auch ist es richtig, dass simple Pattern-Matching-Verfahren bei komplexer Malware mit mutierendem, polymorphem Code konzeptbedingt versagen.
Tatsache ist aber auch, dass die Mehrzahl der Malwares eben nicht ein solch hohes Maß an Komplexität an den Tag legt. Weiterhin wird es Security-Herstellern nicht gerecht, wenn moderne Viren-Scan-Engines auf reines Pattern-Matching reduziert werden.
Alle Anbieter haben die Mustererkennung längst durch Heuristiken, zahlreiche Decoder, Whitelists und Varianten-Erkennung derart erweitert, dass es selbst für „Custom Malware“ immer schwieriger – wenngleich nicht unmöglich – wird, unerkannt zu bleiben.
Erlauben Sie mir, einen Vergleich zu bemühen, um aufzuzeigen, dass PR-wirksame, provokante Statements, wie die von O’Callahan, Otto Normalusern einen Bärendienst erweisen. Es sollte klar sein, dass ein normales Zylinderschloss einen versierten Einbrecher nicht davon abhält, in ein Haus einzubrechen.
Wenn aus Sicht des Einbrechers die Aussicht auf die Beute das Risiko und den Aufwand rechtfertigen, wird das besagte Schloss zwar eine Hürde darstellen, die aber überwunden werden kann.
Diese Tatsache rechtfertigt aber nicht den Verzicht auf ein Türschloss. Dies nämlich reduziert den Aufwand für den Einbrecher faktisch gegen null und verschiebt die Aufwand-Nutzen-Rechnung für den Einbrecher zugunsten des Einbruchs.
Genauso werden Systeme ohne Virenschutz zum Punkt des geringsten Widerstandes für Angreifer und beschwören Angriffe herauf. Keinesfalls sollen Security-Hersteller in Schutz genommen werden, deren Produkte nicht die Anforderungen sicherer Software-Entwicklung erfüllen. Hier müssen Kunden die Hersteller in die Pflicht nehmen.
Sie haben mit ihren Kaufentscheidungen einen erheblichen Hebel, Nachbesserungen und Qualität von denjenigen Herstellern einzufordern, die sich ihren Anteil am Enterprise-Endpoint-Security-Markt (laut Forrester ein Marktvolumen von 5,9 Milliarden US-Dollar jährlich bis 2021) sichern wollen.
Ebenso denke ich nicht, dass signaturbasierte Malware-Erkennung allein geeignet ist, um jede Art von Endpoint umfassend gegen Malware zu schützen.
Sehr wohl aber bin ich der Ansicht, dass moderner Virenschutz auf absehbare Zeit ein integraler Bestandteil einer jeden ernsthaften, mehrschichtigen Sicherheitsstrategie bleiben muss. Diese Lösungen sind dort die einzige Verteidigungslinie, wo Malware nicht ausgeführt, sondern lediglich abgelegt wird. Gemeint sind zentrale Verteilerpunkte im Unternehmensnetz, auf die zahlreiche interne und externe User zugreifen – wie Storage, Dokumenten-Management und nicht zuletzt auch SAP-Systeme!
