Ein Provokanter Titel… Auch einer, den ich nicht wirklich ernst meine. Aber ein bisschen eben schon. Es begab sich Gestern, als ich zwei Kundengeräte von der gleichen Schadsoftware befreit habe. Eine „Ukash“-Variante die im Moment wieder ziemlich aktiv ist. Getarnt als Skype.dat im Benutzerordner – wie einfallslos. Zumal die Kunden kein Skype installiert hatten.
Beide hatten den gleichen Virenscanner und beide haben mich gefragt, ob das Programm – das sie von mir haben ganz nebenbei – versagt habe. Nun, ich glaube das hat es nicht. Ich glaube, Virenscanner sind in ihrem Fähigkeiten arg eingeschränkt. Letztlich funktioniert nur die Signatur-basierte Erkennung wirklich gut. Dieser ganze Heuristikkram ist doch was fürs Marketing. Letztlich wird eine Datei angesehen wenn auf sie aktiv zugegriffen wird. In diesem Augenblick wird die Signatur zu Rate gezogen. Passt das Sample, wird die Datei als etwas böses eingestuft. Passt sie nicht, kann sie tun und lassen was sie will.
Bedeutet aber, das wenn man Pech hat und die Schadsoftware noch nicht in der Signatur enthalten ist, passiert nichts. Keine Reaktion des Virenscanners. Und wenn der Autor der Software nicht vollkommen besoffen war, hat er dafür gesorgt das die Verhaltensanalyse des Virenscanners nicht anschlägt. Diese Mechanismen sind statisch und damit für die bösen Jungs leicht zu umgehen. Ebenso wie dieser Blödsinn mit cloudbasierter Erkennung. Deren Erkennung muss quasi deaktiviert sein, sonst würde sie bei jedem unbekannten Programm direkt anspringen nur weil es eben unbekannt ist.
Und wenn dann noch das Schadprogramm in einem Stückchen Java daherkommt, ist es für den AV-Scanner eh so gut wie ausgeschlossen irgendwas zu finden. Es spricht also vieles dagegen das unser lokaler Virenscanner überhaupt irgendwas findet. Und doch haben wir einen. Und doch glauben wir dem BSI nicht wenn die Herrschaften behaupten, das Microsoft eigene Tool – in Windows 8 standardmäßig enthalten – würde ausreichen (PDF – Seite 2). Egal wer mich fragt – Freunde, Bekannte, Kunden… Ich sage ihnen immer das sie Geld investieren müssen um einen halbwegs vertretbaren Schutz zu bekommen. Und das ist es in letzter Konsequenz dann auch. Ein Virenscanner ist ein Teil eines Gesamtkonstruktes in dem alle Komponenten passen müssen. Erst dann ist ein Rechner halbwegs auf der sicheren Seite. Im Detail bedeutet das:
- AV-Scanner mit hoher Updaterate bezogen auf die Signatur und der Möglichkeit, die Datenströme aus dem Internet in Echtzeit zu scannen (Proxy)
- Aktuelles Betriebssystem – möglichst 64 Bit auf dem die Updates so zeitnah wie möglich eingespielt werden
- JAVA im Browser deaktiviert oder wenigstens erst auf Nachfrage aktiv – außerdem muss die Software jederzeit aktuell sein
- Restliche Anwendungssoftware via Autoupdate auf aktuellem Stand – im speziellen betrifft das den Browser und Programme wie Flash oder PDF-Reader
- Zum täglichen Arbeiten wird ein Benutzerkonto genutzt, das über keinerlei Rechte verfügt.
Man könnte die Liste noch beliebig fortsetzen… Die Erfahrung zeigt aber, das es bei den meisten Menschen spätestens beim dritten Punkt aufhört. Ich selbst kann nicht nachvollziehen, die man die wenig dezenten Updatehinweise von JAVA und Konsorten über Wochen und Monate hinweg ignorieren kann… Gerade dann nicht, wenn auf der anderen Seite ständig über die Meldungen der UAC (Benutzerkontensteuerung seit Vista) gemeckert wird.
Betrachtet man den Virenscanner nun also als Teil eines Gesamtkonzeptes, wird auch klar warum er so leicht versagen kann wenn nicht alle Teile wie vorgesehen zusammen spielen. Und um das klar zu machen: Es ist lästig und kompliziert seine Maschine so auf Stand zu halten das sie den meisten Angriffen gegenüber gelassen sein kann. Auch für mich der ich weiß auf welche Knöpfe ich drücken muss. Aber sich ausschließlich darauf zu verlassen das die Antivirensoftware robust genug ist um einen ansonsten schlecht gepflegten Rechner zu schützen ist so, als würde man sich auf die Bremsen an einem Auto verlassen, bei dem man weiß das die Lenkung defekt ist. Man kann es darauf ankommen lassen und nicht selten wird es funktionieren… aber halt auch nicht immer.
Also, macht die Updates! Investiert die 30 Euro im Jahr für einen Virenscanner. Wenn er neun von 10 Mal verhindert das ihr euch die Maschine kaputt macht, ist das mehr als man erwarten darf. Klickt nicht jeden Link an den ihm im Internet finden könnt. Macht eine Sicherung! Eine aktuelle und gut überlegte Sicherung kann einem viel Ärger ersparen. Und erwartet keine Wunder! Die bösen Jungs sind immer einen Schritt voraus…
Benny