Antivirus-Software vs. Betriebssystem

Blogeinträge pro und contra Antivirus-Software werden bei MacMacken und anderswo jeweils kontrovers diskutiert. Ein wichtiger Grund, der gegen die ständige Verwendung von Antivirus-Software spricht, sind Schäden, die erst durch Verwendung solcher Software entsteht.

Heise Online berichtet heute Abend wieder einmal über ein entsprechendes Beispiel …

Wer heute Morgen die jüngsten Updates für den Virenscanner Bitdefender eingespielt hat, musste danach mit einer nicht mehr bootfähigen Windows-Installation rechnen. […] Grund des Übels war nach Angaben von Bitdefender ein Fehler im Virenscanner, der zahlreiche Systemdateien irrtümlicherweise als virusverseucht einstufte (Trojan.FakeAlert.5) und deshalb in die Quarantäne verschob. […]

… das beschriebene Problem betrifft 64-Bit-Versionen von Microsoft Windows im Zusammenspiel mit Bitdefender, wäre aber genauso auf einem Mac mit Antivirus-Software denkbar. An BRAIN 1.0 führt kein Weg vorbei! 😐

18 Comments

  1. Heiko
    21. März 2010

    Die Diskussion ist so fruchtlos wie das Diskutieren mit Impfgegnern.

    Bis die Masern wieder ausbrechen…

    Reply
  2. sver
    21. März 2010

    Das ist aber ein harter Tobak.

    Wenn ich ne Virensoftware installiert habe, und das sollte man wirklich unter Windows, dieser vertraue (sonst würde ich sie ja nicht installieren) und diese sich dann automatisch Updatet (sollte sie auch, weil sonst ist die beste AV Software nichts wert) infolgedessen ich dann meinen PC nicht mehr starten kann,… garnicht auszudenken wie sauer ich wäre…

    Sowas darf einfach nicht passieren!

    Reply
    • Martin (MacMacken)
      21. März 2010

      Sowas darf einfach nicht passieren!

      Es geschieht aber leider immer wieder, denn Antivirus-Software ist auch «bloss» Software – mit entsprechenden Fehlern und Sicherheitslücken … Letzteres stellt eine besondere Gefahr dar, da Antivirus-Software typischerweise alle neuen und geänderten Daten überprüft, sprich besonders anfällig auf gefährliche Daten ist.

  3. ruediger
    21. März 2010

    Fehler passieren nun mal, immer wieder. Es stellt sich wieder mal die Frage, inwieweit man überhaupt einen Virenscanner vertrauen sollte und nicht nur alleine BRAIN 1.0 und gescheiter Anwendungssoftware.

    Reply
    • Martin (MacMacken)
      21. März 2010

      IMHO richtig – Antivirus-Software kann man allenfalls gezielt einsetzen, beispielsweise um einen Verdacht zu bestätigen, und idealerweise auf einem anderen System als direkt auf dem untersuchten.

    • flexo
      22. März 2010

      Nur bei Verdacht nützt leider im Nachhinein oft nichts mehr, weil sich die „Kerle“ manchmal gut verstecken:

      Beispiel:http://www.heise.de/security/meldung/Symantec-Rootkit-verursacht-Windows-XP-Bluescreens-930819.html

      Ich bin der Meinung BRAIN ist notwendig aber es reicht ganz klar nicht aus. Natürlich ist auch die AV-Software kein Allheilmittel – es braucht beides.
      Heute wird so viel per E-Mail/Internet/USB-Stick etc. ausgetauscht, es wäre eine Katastrophe wenn niemand eine AV-Software installiert hätte. Nur auf den Mailservern reicht nicht aus. Natürlich bringt eine AV-Software auch Probleme, ich hätte lieber keine unter Windows, dann Schluck ich aber lieber diese Kröte AV-Software und bekomme wenigstens etwas Hilfe bei solchen Fällen wie beschrieben (was eigentlich ziemlich lausig ist von BitDefender) – vom Virenschreiber werd ich ganz sicher keine Hilfe bekommen 😉

      Deshalb braucht es beides, BRAIN und AV-Software unter Windows. OS X ist bis jetzt gut weggekommen, mit grösserer Verbreitung wird auch dort der AV-Scanner notwendig sein.

  4. Heiko
    21. März 2010

    AV-Scanner sind die berühmte „Last Line of Defense“ – weil niemand mit BRAIN 1.x kann alle (bekannten, unbekannten und 0-day)-Sicherheitslücken kennen. Einfach mal drüber nachdenken, was so alles Zugriff ins Internet hat. Firefox, Safari, IE, Flash, Acrobat, Mail-Reader, Messenger, Twitter-Client, Feedreader, etc.

    Die alle haben Lücken. Wer nur auf BRAIN vertraut, hat hinter diesen Lücken… nichts.

    Selbstverständlich ist das AV dahinter keine undurchdringliche Sperre, aber es ist eine Sperre.

    Wenn der Schädling erst mal im System sitzt, ist es meistens zu spät. Viel spaß beim Neu-Aufsetzen.

    Ich führe die „Post-Mortem“-Diskussion leider öfters – Nein, ich kann das Rootkit nicht einfach so löschen, weil nicht sicher ist, ob es nicht ein paar Freunde nachgeladen hat und weil nicht zu überblicken ist, wo es überall im System eingenistet ist. Zum Glück kostet das meistens nur Zeit und Geld, selten gehen Daten verloren.

    Und viel Erfolg beim „Verdacht bestätigen“ – viele „Problemträger“ haben erst Verdacht geschöpft, als ein MS-Patch zusammen mit dem Rootkit einen Bluescreen verursacht hat. Ich will garnicht wissen, wieviel Millionen Spam-Mails rausgeblasen wurden, bevor das aufgefallen ist.

    Reply
    • Martin (MacMacken)
      21. März 2010

      AV-Scanner sind die berühmte “Last Line of Defense” – weil niemand mit BRAIN 1.x kann alle (bekannten, unbekannten und 0-day)-Sicherheitslücken kennen.

      Bekannte Sicherheitslücken sind in den betroffenen Anwendungen zu beheben, die anderen Sicherheitslücken kennt auch Antivirus-Software nicht.

      Einfach mal drüber nachdenken, was so alles Zugriff ins Internet hat. Firefox, Safari, IE, Flash, Acrobat, Mail-Reader, Messenger, Twitter-Client, Feedreader, etc.

      Die alle haben Lücken. Wer nur auf BRAIN vertraut, hat hinter diesen Lücken… nichts.

      Antivirus-Software hat leider selbst auch Sicherheitslücken – hinzu kommen die negativen Auswirkungen, wie sie unter anderem im obigen Blogeintrag beschrieben sind.

      Wenn der Schädling erst mal im System sitzt, ist es meistens zu spät. Viel spaß beim Neu-Aufsetzen.

      Bei Verdacht auf Befall mit Schadsoftware muss man das betreffende System so oder so neu setzen.

      Und viel Erfolg beim “Verdacht bestätigen” – viele “Problemträger” haben erst Verdacht geschöpft, als ein MS-Patch zusammen mit dem Rootkit einen Bluescreen verursacht hat. Ich will garnicht wissen, wieviel Millionen Spam-Mails rausgeblasen wurden, bevor das aufgefallen ist.

      Es ist fraglich, ob Antivirus-Software in solchen Fällen geholfen hätte … ich betreue einige PCs, auf denen Antivirus-Software eingesetzt wird, und dort gab es bislang nie positiven Alarm, sondern entweder gar keine Alarme oder falsche (nein, diese Erfahrung ist nicht repräsentativ).

    • Heiko
      21. März 2010

      Die AV muss die Sicherheitslücken nicht kennen. Es muss die Schädlinge erkennen, die durch die Sicherheitslücken kommen.

      In unserem Netz hat die AV schon zahlreiche bösartige PDFs eingesammelt, Webseiten mit IFRAME-Exploits blockiert, gelegentlich Javascript gefiltert – häufig auch einfach nur die Payloads kassiert.

      Natürlich wäre es besser, wenn die Hersteller ihre Lücken schneller schließen würden – oder von vornerein sorgfältiger arbeiten würden – auch die AV-Hersteller. Bisher höre ich aber jährlich von einer Lücke in jeweils einem Produkt, bei unserem eingesetzten bisher nur eine obskure DoS-Lücke… das ist deutlich weniger als bei einem IE oder Adobe Schießmichtot.

      Und zu „false positives“: Ich hab lieber den Anruf „Du, mein Autocad startet nicht mehr und der Virenkiller meckert“ als „Du, mein Rechner sagt, ich müsste Antivirus 2010 installieren und das alle 2 Minuten“. Erstere Frage kostet mich 2 Minuten an der Management-Konsole und u.U. einen Anruf beim Support, letztere Frage kostet mich deutlich mehr Zeit. Für alles weitere haben wir einen Support-Vertrag mit dem Hersteller (Sophos bei uns) und da auch bisher gute Erfahrungen.

      Und wer den Virenkiller auf Auto-Quarantäne oder Auto-Löschen stellt, sollte nochmal scharf nachdenken, ob „blockieren“ nicht ausreicht.

      Immer dran denken: Wenn eine „Rechnung“ in der Buchhaltung aufschlägt, dann ist die Wahrscheinlichkeit hoch, dass sie geöffnet wird!

  5. dasuxullebt
    22. März 2010

    Ein Virenscanner kann dabei helfen, Strukturen in Programmen zu finden, die bekannten Viren entsprechen. Das Problem ist – soweit ich das bisher sehe – dass viele Virenscanner gar keine Virenscanner mehr sind, sondern „Komplett-Security-Pakete“ mit Firewall-Zusatzblabla und Zeug das in den Benutzerrechten herumpfuscht.

    Bisher hatte noch jede hinreichend verbreitete Software irgendwann Exploits. Man kann sich nicht davor schützen, man kann nur die Wahrscheinlichkeit niedrig halten, und dazu helfen Virenscanner und Persönliche Firewalls, sind aber keine Garanten.

    Und auch diese Software kann natürlich Fehlerbehaftet sein. Wenn ich dann aber höre, dass Leute ihren Virenscanner „automatisch“ updaten lassen … Ähem, das ist ein Programm das anderen Programmen die Ausführungsberechtigung entziehen kann – wenn das wirklich updated, dann doch bitte nicht im Hintergrund sondern aktiv. Und wenn man es updaten lässt, dann mit der Vorsichtsmaßnahme, alles Wichtige gebackupt zu haben.

    Auch wenn die Industrie etwas anderes weißmachen will: Es gilt nunmal: Sicherheit = Benutzerfreundlichkeit^{-1}.

    Reply
  6. Helge
    30. März 2010

    Viren Scanner hin oder her, was mache ich, wenn ich mir was eingefangen habe? Trotz Brain 1.0!

    Denn ich bekomme neuerdings Fehlermeldungen in Safari.
    `Die Internet-Sicherhei für Windows
    Ihr Browser ist in Gefahr der Infektion. Windows fordert Erlaubnis, das Instrument für On-line Schutz zu installieren ….´

    Der Fehler kommt auf x-beliebigen Seiten, aber auch nicht regelmäßig.

    Ich habe OsX und mein einziges Microsoft Produkt ist Office 2008.

    Vielleicht habt ihr eine Lösung für mich. Microsoft selber ist ratlos.

    Reply
    • Martin (MacMacken)
      30. März 2010

      Viren Scanner hin oder her, was mache ich, wenn ich mir was eingefangen habe? Trotz Brain 1.0!

      System aus sauberen Originalquellen vollständig neu aufsetzen.

      Denn ich bekomme neuerdings Fehlermeldungen in Safari.
      `Die Internet-Sicherhei für Windows
      Ihr Browser ist in Gefahr der Infektion. Windows fordert Erlaubnis, das Instrument für On-line Schutz zu installieren ….´

      Der Fehler kommt auf x-beliebigen Seiten, aber auch nicht regelmäßig.

      Ich habe OsX und mein einziges Microsoft Produkt ist Office 2008.

      Vielleicht habt ihr eine Lösung für mich. Microsoft selber ist ratlos.

      «Sicherheitsempfehlungen» für Microsoft Windows kannst Du als Mac-Benutzer ignorieren … handelt es sich allenfalls um Werbung im Stil von Scareware?

      http://de.wikipedia.org/wiki/Scareware

      Im Zweifelsfall kannst Du mir gerne einen Screenshot per E-Mail zukommen lassen … vorher solltest Du Dein System mit einer Antivirus-Software überprüfen, am besten von einem anderen System aus, beispielsweise ab CD/DVD oder USB-Stick gebootet.

    • Paulwerner
      6. Mai 2010

      Ich habe das gleiche Problem. Wie hast Du Dir helfen können? Ich habe keine Ahnung.

    • Martin (MacMacken)
      6. Mai 2010

      Es handelt sich wie oben erwähnt vermutlich um Scareware-Werbung – solche Werbung kann man wie gewöhnliche Werbung mit einem Adblocker ausblenden lassen … leider sind die entsprechenden Möglichkeiten mit Safari mangels «echter» Erweiterungen beschränkt, für Mozilla Firefox gibt es Adblock Plus:

      http://adblockplus.org/

    • Helge
      7. Mai 2010

      Mein System habe ich aufgrund von Zeit und Lust (auch keine Ahnung wie es geht) nicht neu gemacht.
      Ich bin auf Firefox umgestiegen und habe „ABP“ (Werbeunterdrücker) als Add-On installiert. Inzwischen bin ich da Werbefrei.
      Werbung hin oder her, Microsoft behauptet dass kommt nicht von denen und sie kennen das Problem. Aber können den „Fehler“ nicht selber Erzeugen und damit nicht beheben.

    • Paulwerner
      7. Mai 2010

      Danke! Ich habe auch keine Ahnung wie ich mein System neu einrichten soll. Leider habe ich auch mit Firefox das Problem, habe aber noch nicht den Werbeunterdrückerinstalliert. Werde es gleich mal versuchen.

Leave a Reply