Virenschutz

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Virenschutzprogramm bezeichnen jede Art von Anwendungen zum Auffinden von Schadprogrammen (Malware). Sie stellen einen Basis-Schutz gegen Computer-Viren, Würmer, Backdoors (Trapdoors), Trojanische Pferde, Spionageprogramme und andere Bedrohungen her.

Minimalschutz

Als Minmalvoraussetzung für den Betrieb von Computer wird heute ein aktueller Virenschutz vorausgesetzt. Fehlt der Virenschutz, so kann dies rechtliche Auswirkungen haben [1]. Virenschutzsoftware gibt es als Enterprise - Lösung, die zentral administriert werden, oder als Einzelplatzversionen, die Updates aus dem Internet beziehen.


Betrieb

Beim Betrieb von Virenscannern sind alle Dateitypen zu prüfen. Eine Beschränkung auf "ausführbare" Dateiformate ist nicht ausreichend. Da auch Virenprogramme verschieden Schwachstellen ausnutzen, sollten Virenscanner auch über folgende Funktionen verfügen:

  • Integritätstest
  • Selbsttest
  • Signatur-Erkennung
  • Heuristische Suche (mit unvollständigen Informationen und wenig Zeit dennoch zu praktikablen Lösungen zu kommen)
  • Erkennung von Schadprogrammen auch in komprimierten Dateien
  • Entfernung von Schadprogrammen
  • Überwachung von Aktiven Inhalten (z.B. Java, JavaScript, ActiveX)
  • Schnittstelle zum E-Mail-Client
  • Aktualisierung des Viren-Schutzprogramms

Dabei sollte der Virenscanner jeden Zugriff auf den Speicher (on-access) untersuchen. Daneben sollte der Virenscanner auch einen manuellen oder automatisierten Suchlauf durchführen (on-demand).

Moderne Virenscanner besitzen neben der signaturbasierten Suche nach Schadsoftware und Heuristik auch Reputationsdienste-Funktionalitäten per Cloud, Sandboxing und Verhaltensanalyse (Behaviour Analytic).


Virenschutzkonzept

Unternehmen und Behörden sollten zur Unterstützung eines effektiven Schutzes eine Dokumenation alle Entscheidungen in Form von einem Computerviren-Schutzkonzept zusammentragen.

Die enthaltenden Regelungen haben verbindlichen Charakter und können zu rechtlichen Konsequenzen führen.

Aufbau und Gliederung

Folgende Punkte sollten in einem Konzept enthalten sein:

  • Ziel des Einsatzes der Computerviren-Schutzprogramme
  • verwendete Computerviren-Schutzprogramme und Einbindung in die bestehende Sicherheitsinfrastruktur
  • detaillierte Gefährdungsanalyse (welche IT-Systeme, welche Zugänge gibt es?)
  • realisierte Maßnahmen (Strategie, Aktualisierungsprinzip, Einstellungen der Virenscanner, Verteilungsverfahren)
  • Regelungen zur Zuständig­keit in Bezug von Warnungen vor Computerviren, Merkblatt zum Thema Computerviren, stan­dardisierte Warnungsmeldung, regelmäßige Informations- und Schulungs­veranstaltungen

Neben dem Schutz vor Computerviren gehört zur Absicherung der IT-Systeme ein Datensicherungskonzept (Backup).

Meldewege

Um sich einen Überblick über bestehende Angriffe zu verschaffen sollten Privatpersonen und Unternehmen Meldungen der Programme nutzen. So sind gefundene Schadprogramme dem Benutzer und in Unternehmen zusätzlich dem Administrator anzuzeigen. In einem Unternehmen oder einer Behörde können darüber hinaus weitere Prozesse / Meldungen notwendig werden. Dies ist abhängig von dem Schutzbedarf der IT-Systeme auf dem die Störung auftritt; zukünftig aber auch davon, ob ein Unternehmen zu einer kritischen Infrastruktur nach IT-Sicherheitsgesetz gehört.


Auswahl des Computer-Virenschutzprogramms

Die in der Fachwelt durchgeführten Vergleichstests von Virenscannern kommen, je nach gewählten Testbedingungen, zu höchst unterschiedlichen Ergebnissen und sind deshalb kaum verwertbar. In einem Vergleichstest von Mitte 2014 wurde beispielsweise die Trefferrate von Virenscannern für tatsächlich kursierende Schädlinge analysiert[2]. Hier erreichte das ansonsten oft gescholtene Security Essentials von Microsoft, was auf Windows-PC kostenlos mit installiert ist, doch auch ein gutes Ergebnis. Zudem besteht eine länderspezifische Verbreitung von Viren und deshalb auch eine unterschiedliche Wirksamkeit von Virenscannern pro Land. Welche Ergebnisse ein Virenscanner pro Land hat, kann anhand einer aufbereiteten Weltkarte festgestellt werden.


Auf deren Wirksamkeit kann aber bei aktuellen Sicherheitsvorfällen geschlossen werden (z.B. geleakter Eigenbericht der Erkennung des FinFisher(Staats-)-Trojaners durch Antivirenprogramme - siehe https://netzpolitik.org/wp-upload/Anti-Virus-Results-FinSpy-PC-4.51.xlsm). Hier liegen aber eher die nicht so bekannten Antivirenhersteller vorn. Vermutlich wird auch mehr Wert darauf gelegt, die bekannten Antivirenprodukte auszutricksen. Dies wird dadurch erreicht, dass die FinFisher-Software überraschend nicht verschlüsselt oder gepackt (wie es eigentlich sonst bei Schadsoftware üblich ist) auf dem Opferrechner vorliegt und so die Heuristikelemente einer Antivirensoftware aushebelt.


Auf Grund:

  • aktuellen Qualitätsprobleme (im Rahmen der von WikiLeaks veröffentlichten "Vault"-Dokumente über das Spionagearsenal der CIA an Hackersoftware wurde auch das mögliche Aushebeln von 22 Antivirenprogrammen bekannt)
  • offensichtlichen Schwächen bei der Erkennung von Schadsoftware bzw. mangelnden Schutz gegen neuartige Malware (z.B. Dateilose Infektionen)
  • sowie des Verursachens eigener Sicherheitsprobleme durch seine Systemanwesenheit (insbesondere bei der Implementation von SSL-Gateways[3])

raten einige Sicherheitsexperten[4][5] von zusätzlicher Antivirensoftware ab und empfehlen lediglich einen Basisschutz per kostenlos zu Windows mitgelieferten und im MS-Betriebssystem verankerten Defender[6]. Dieser Rat ist aber sicher nicht für den Normal-User geeignet, denn er müsste dann als Ersatz zur Abwehr der "Wald-und-Wiesen-Malware" für die dauernde rechtzeitige Aktualisierung seiner installierten Softwarekomponenten eigenverantwortlich sorgen. Das gelingt nur bei ständiger Überwachung von Update-Informationen (z.B. entsprechende BSI-Seiten), die einen Normal-User schnell überfordern würde. Auch Haftungsgründe sprechen dagegen, da im deutschen Recht immer öfter der Einsatz einer Antiviren-Software als "Stand der Technik" gefordert wird. Ein guter Kompromiss wäre die Abschaltung nur der Funktionalität der https-Überwachung durch das SSL-Gateways im Virenscanner, welche viele Virenscanner auch zulassen.


Weblinks

Tools


Einzelnachweis

  1. Grundschutz Info Nr. 8; 2010; RA Jan Schneider; Von Viren und anderen neuzeitlichen Krankheiten
  2. "Virenscanner: Testlabor analysiert das fehlende Prozent" in heise.de/Security vom 19.August.2014
  3. "US-CERT warnt vor HTTPS-Inspektion" in heise.de/Security vom 22.März.2017
  4. SecuPedia Aktuell: Frontal 21 vom 21. März 2017
  5. "Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"" in heise.de/Security vom 08.Februar.2017
  6. "Ex-Firefox-Entwickler rät zur De-Installation von AV-Software" in heise.de/Security vom 30.Januar.2017


Siehe auch



Diese Seite wurde zuletzt am 25. März 2017 um 22:46 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Markus Albert, Peter Hohl, Admin und Markus Albert.

Anzeigen