Antivirus-Software: Quo vadis, Desinformation?

[Killerkaninchen]

Liebe Mac-Freunde,

zunächst möchte ich mich für den Clickbait-Titel entschuldigen – aber irgendwie kribbelt es mir in den Fingern, bei dem, was ich gerade erleben musste.

Vorhin ist auf ORF2 in "Aktuell nach eins" ein Cybercrime-Ermittler des Österreichischen Bundeskriminalamtes im Interview gewesen.
Es ging um Datensicherheit, mit Schwerpunkt auf Ransomware.

Wie man sich denn schützen könne, fragte der Moderator.
Der Ratschlag: Immer Betriebssysteme und sonstige Software aktuell halten; ein gutes Antivirenprogramm benutzen; und nach Möglichkeit wäre auch ein Backup nicht schlecht.

An der Stelle musste ich mich erst einmal vom Schock erholen, dass so etwas im Rundfunk verbreitet wird.

Das Backup als eigentlich wichtigste Strategie nur zuletzt zu erwähnen und dann noch mit dem Unterton "wär ned schlecht" allein ist schon harter Tobak.
Der Mann bedachte nicht einmal, dass ohne solches Backup die erfolgreichen Attacken in Österreich (u. a. auf die Landesverwaltung Kärnten) katastrophal ausgegangen wären.
Nur warum wurde mal wieder Antivirensoftware gepredigt (die Kärnten gar nix genutzt hätte, ohne dem Backup)?

Der Moderator schien sich etwas kritisch geneigt zu sehen und er stellte (ich glaube ich weiß, warum) die Frage:
Windows wird ja auch schon mit einer Antivirensoftware ausgeliefert. Kann oder sollte man sich auf die verlassen?
Und dann blieb mir die Spucke weg: natürlich sei die Software von Windows nicht schlecht, aber man sollte doch auch etwas "Professionelles" in Verwendung haben.
Für mich hat es sich angehört, als wäre indirekt empfohlen worden, mehrere Antivirusprogramme gleichzeitig zu haben. Korrigiert mich, wenn mich meine Erinnerung täuscht.

Wie viele Rechner müssen noch verschlüsselt und freigekauft werden, bis diese öffentliche Desinformation ein Ende nimmt?

Entsetzte Grüße
Killerkaninchen

 

[iMaxer]

Muss ja ein toller "Experte" gewesen sein...
Neu ist mir auch, dass Microsoft ein Haufen Amateure sind.

 

[gishmo]

Neu ist mir auch, dass Microsoft ein Haufen Amateure sind.

Nun ja ... sie haben Windows gebaut ... :-D

 

[wegus]

Das Feld ist schwierig und nicht jeder hat da Ahnung, auch wenn er sie von berufswegen haben sollte.

Auch hat der Microsoft Defender eine schwierige Karriere hinter sich.Vom Addon Tool das man extra installieren muß (und Firmen es auch kaufen mußten, Enduser hatten es umsonst), zur Gratis-Dreingabe bei neueren Windows Versionen zu einem wirklich ausgeschlafenen Tool mit guter Schutzwirkung. Da weiß nicht jeder den neuesten Stand.

Auch wissen die Wenigsten das Standard-Apps die Virenschutz machen wollen erstmal selbst Lücken aufmachen müssen über die sie ins System eingreifen. Jeder Angreifer freut sich, wenn er sieht das da ein Antivirus-Tool läuft. Denn er weiß welche Lücken welches Tools öffnen und kommt da nun ganz bequem selbst hinein. Einizige Ausnahme hier: Der Defender von MS, weil er eben nicht als normale App läuft sondern Teil des Windows OS Ökosystems ist.

Also erklären kann ich mir solche falschen Ratschläge daher schon. Man weiß ja auch nicht was der Schwerpunkt des "Cybercrime-Ermittlers" ist in seiner Arbeit.

 

[wegus]

Nun ja ... sie haben Windows gebaut ... :-D

Ach komm, das ist doch eines der besten Point&Click Adventure überhaupt

 

[OmarDLittle]

Mit Windows fängt man sich durchaus schneller was ein als man glaubt und es es ist von der Mehrzahl der User verwendete Betriebssystem. Da ist ein Antivirenprogramm also nicht fehl am Platz.

Ich verwende bei Windows den eingebauten Defender - allein schon weil es die Angriffsfläche nicht unnötig vergrößert, bei anderen Antivirenprogrammen werden die OS-Sicherheitsmechanismen extra außer Kraft gesetzt, weil Antivirenprogramme die höchstmögliche Berechtigung brauchen um tief verankert überwachen zu können. Es gibt immer wieder Angriffe, wo das Antivirenprogramm selbst dann übernommen wird, womit der Angreifer dann natürlich auch diese Rechte erlangt.

Dass Microsoft genügend Kohle und Expertise hat um ein gut funktionierendes Antivirenprogramm auf die Beine zu stellen, bezweifelt wohl niemand. Meines Wissens schneidet es bei der Erkennung durchschnittlich gut ab, da können andere Programme durchaus etwas im Vorteil sein, wo die Firmen schon seit langer Zeit an ihren Erkennungsroutinen und Engines arbeiten und mehr Erfahrung haben. Unterm Strich dürfte der eingebaute Defender dennoch besser sein, wie im vorigen Absatz erklärt.

Ganz klar muss auch sein, wenn du Schadsoftware aufhalten willst, dann kannst du das nicht auf dem gleichen System machen, das infiziert wird. Wenn der Scanner anschlägt haben bereits alle Mechanismen davor versagt und der Rechner gehört platt gemacht. Aber wir sind ja im privaten Bereich, wo es keine Mailgateway-Scans gibt, keine Anwenderschulungen oder sonstige best practices. Für viele User ist der Computer nur ein Mittel zum Zweck und die verlassen sich darauf dass das sicher ist, genauso wie du dich beim Kochen darauf verlässt dass die Lebensmittel aus dem Supermarkt sicher für den Verzehr sind.

Daher ist es schon recht schwer da im Radio irgendwas Sinnvolles zu sagen, "wie man sich schützen könne". Mit "gar nicht" ist den Anwendern auch nicht geholfen. Am ehesten müsste ich empfehlen einen Mac zu kaufen, weil eben die meiste Schadsoftware erst gar nicht läuft. MacOS hat außerdem neben Microsoft mit den Surfaces die einzige halbwegs funktionierende secure-boot-Implementation die persistence verhindern kann, man braucht aber einen möglichst aktuellen Mac zumindest mit M1. Dort ist die Hardware sicherheitstechnisch den iPhones angenähert.

Aber versuch das mal im Radio zu bringen ohne zerrissen zu werden. Tatsache ist, die meisten Computer haben Hardware die eine wirklich sichere Verwendung unmöglich machen. Bei Windows sind die Geräte in der Surface-Reihe wirklich die einzigen die empfehlbar sind, auch weil Microsoft Lücken in der Firmware fixt so wie Apple. Bei anderen Computern ist das UEFI von vornherein unsicher und wer bekommt schon regelmäßig Firmwareupdates fürs Mainboard oder gar für weitere Hardware wie das Wifi-Modem.

Für mich hat es sich angehört, als wäre indirekt empfohlen worden, mehrere Antivirusprogramme gleichzeitig zu haben.

Windows erkennt das automatisch und dreht den internen Defender ab. So clever ist Windows heutzutage schon. Aber natürlich ist es komplett absurd zu suggerieren der Defender sollte ersetzt werden. So läuft das bei den Behörden eben ab, mit Glück sind die nur ein paar Jahre hinterher und nicht gleich ein Jahrzehnt. Das wirklich qualifizierte Personal findest du in der Privatwirtschaft. Und Ö macht es sich nicht einfacher, dass sie inzwischen die IT über Leihfirmen laufen lassen wodurch du nicht mehr verbeamtet wirst. Das obendrauf zum geringeren Verdienst und rigiden Strukturen wo Sachen wie Homeoffice nicht möglich sind. Hauptsache wir schreien laut Fachkräftemangel.

 

[wegus]

Windows erkennt das automatisch und dreht den internen Defender ab. So clever ist Windows heutzutage schon. Aber natürlich ist es komplett absurd zu suggerieren der Defender sollte ersetzt werden.

Meist greifen Firmen zu Software von Drittanbietern, weil die in der Domäne gezielt verteilt, kontrolliert und gewartet werden soll. Es geht dabei eher nie um die Leistung dieser Programme. Sonst müßte, aus genau den von Dir genannten Gründen, der Defender auch dort genutzt werden.

Aber ja, Firmen haben in der Regel eine "Universal Threat Protection" wo Mails etc schon beim Eingang ins Firmennetz gescannt werden. Daher sind die ein anderes Thema als der Endanwender.

 

[MilesVorkosigan]

...
...

Auch wissen die Wenigsten das Standard-Apps die Virenschutz machen wollen erstmal selbst Lücken aufmachen müssen über die sie ins System eingreifen. Jeder Angreifer freut sich, wenn er sieht das da ein Antivirus-Tool läuft. Denn er weiß welche Lücken welches Tools öffnen und kommt da nun ganz bequem selbst hinein.
...

... das ist tatsächlich, das erste Mal, dass ich das höre. Und ich höre schon ziemlich lange und ziemlich viel ...

Dass eine professionelle AV-Software es Viren erleichtert(!) ein System zu infizieren, ist mir komplett neu und ich verstehe es auch nicht

 

[maba_de]

Wie viele Rechner müssen noch verschlüsselt und freigekauft werden, bis diese öffentliche Desinformation ein Ende nimmt?

mal abgesehen davon, das ich die Sendung nicht gesehen habe und auch die Aussage des Experten nicht persönlich gehört habe, aber du bist halt das typische Forenkind und hörst auf die Meinung der "Experten" hier, die immer wieder gebetsmühlenartig vom Schlangenöl quatschen.

Sorry, aber rede mal mit Leuten außerhalb der Selbstdarsteller Bubble hier, die richtig Licht am Fahrrad haben.
Ich habe die Ehre, beruflich einige persönlich zu kennen, deren Reputation und Skills ich kenne und von denen würde niemand so Sprüche wie Schlangenöl loslassen. Die betrachten das Szenario, in dem Computer eingesetzt werden, immer ganzheitlich und je nach Einsatzgebiet kann das Setup sehr unterschiedlich sein.

Auch das BSI, bei dem ich aufgrund persönlicher beruflicher Kontakte einige Mitarbeiter kennenlernen durfte empfiehlt einen Virenscanner:
https://www.bsi.bund.de/DE/Themen/V...chutzprogramme/virenschutzprogramme_node.html

Bedeutet dass, dass man sich im privaten Umfeld so Tools installieren muss?
Nein, die Systeme haben für den privaten Rahmen gute Schutzfunktionen und sowohl macOS wie auch Windows haben ja einen Scanner integriert.
Aber je nach Umfeld kann es sein, dass der nicht ausreicht.

 

[iMaxer]

Ich höre das nicht zum ersten Mal. Und warum das so ist wurde doch auch erklärt. Auch AV Programme haben Lücken, und wenn man die kennt hat man einen Premium Zugang zum System.

das ist tatsächlich, das erste Mal, dass ich das höre.

 

[wegus]

Dass eine professionelle AV-Software es Viren erleichtert(!) ein System zu infizieren, ist mir komplett neu und ich verstehe es auch nicht

Die Software muß sich ja dem System als Addon hinzufügen.

Software läuft auf Rechnern in Sicherheitsringen. Der Äußere Ring ist für Anwendungen, je weiter Innen desto besser abgesichert. Der Kernel eines Betriebssystems läuft meist auf dem innersten Ring. Hier sind die Zugriffe stark kontrolliert.

Wenn eine Antivirus-App arbeiten will, dann muß sie sich Zugänge in die Schicht darunter frei machen (und das OS muß das zulassen), meist machen die auch Netzwerkports auf etc. Das alles erhöht die Angreifbarkeit von Außen und das auch schön normiert weil ja für jeden AV Anbeiter klar ist was der tut. Für den Angreifer steht dann die Tür schon halb offen.

Der Defender gehört zum Windows OS, er läuft komplett im geschützten Bereich und muß daher keine Lücken eröffnen um zu funktionieren.


Früher war es z.B. ein Spaß sich beim AMIGA einen Byte im RAM des Betriebssystems auszusuchen. Dort den Mittelpunkt eines Kreises zu definieren und dann mittels Betriebssytems diesen Kreis gefüllt zu zeichnen. Damit flutete man eine definierte Menge de Betriebssystems was zu einer Guru-Meditation (kontrolliertem Absturz) führte. Das ging und war nicht zu verhindern.
Oder wir haben uns in die Speicherpunkte für die Mausbewegungen gehängt und haben parallel zur Y-Achse den Stepper-Motor des Diskettenlaufwerks laufen lassen. Das klang dann als ob die Maus knarzt.
Auf alten SGI Workstations gab es eine Version von Wolfenstein bei der jedes Monster ein Prozeß des darunter liegenden UNIX war. Tötete man das Monster wurde der Prozeß gekillt. Hast Du das als root gestartet, dann ließ sich damit die 15.000DM Workstation abschießen im wahrtsten Sinne.
u.v.m.
Sowas geht alles bei modernen Betriebssystemen nicht mehr wirklich, weil sensible Zugänge schon per Hardware abgeschirmt sind und das OS bestimmt wer wie weit in diese Sicherheitsringe darf.

 

[Killerkaninchen]

@maba_de

Du magst völlig recht haben, dass gerade im Geschäftsbereich oder bei Ämtern die Sache individuell betrachtet werden sollte. Der Experte im Fernsehen gab aber allgemeine Ratschläge für die breite Masse der Privatnutzer.

Schon 2007 berichtete mir ein Windows-Nutzer, dass man keinesfalls zwei Antivirusprogramme installiert haben sollte.

 

[rudluc]

Schon 2007 berichtete mir ein Windows-Nutzer, dass man keinesfalls zwei Antivirusprogramme installiert haben sollte.

Bei Windows wird der wunderbar funktionierende integrierte Defender abgeschaltet, sobald ein Third-Party-Antivirenprogramm installiert ist!

Übel sind da vor allem die vielen neuen Windows-PCs mit irgendeiner blöden dreimonatigen Testversion, die danach für einen sündhaft teuren Abopreis freigeschaltet werden muss und die Benutzer das nicht tun. In dem Fall bleibt der Defender nämlich deaktiviert und das ist fatal!
Ich habe tatsächlich mal den PC einer Bekannten wieder in Gang gesetzt, auf dem drei Testversionen von unterschiedlichen Antiviren-Programmen installiert war. Letztlich war der PC völlig ungeschützt.

 

[derdiedasnicolas]

Wie ist denn nun die einhellige Meinung derer, die sich hier auskennen: Reicht der Defender oder sollte man einen der rennomierten Drittanbieter wählen. 10 Tests im Internet bringen 10 unterschiedliche Resultate und helfen nicht weiter. Da ich mich gerade vor ein paar Tagen selber damit beschäftigen musste, ist das wirklich interessant für mich zu wissen.

 

[iMaxer]

einhellige Meinung

gibt es nicht...
Du sagst ja selber: frage dazu 3 Leute und bekomme 4 Meinungen.
Ich nutze bei Win und macOS den eingebauten Schutz und die Brain.app und gut.

 

[Schiffversenker]

Wie ist denn nun die einhellige Meinung derer, die sich hier auskennen: Reicht der Defender oder sollte man einen der rennomierten Drittanbieter wählen. 10 Tests im Internet bringen 10 unterschiedliche Resultate und helfen nicht weiter. Da ich mich gerade vor ein paar Tagen selber damit beschäftigen musste, ist das wirklich interessant für mich zu wissen.

Zu Windowsfragen würde ich ein Windows-Forum empfehlen.
Es bleibt die Frage, was man unter einem renommierten Anbieter verstehen kann.
Die die am meisten Werbung machen?

 

[thorstenhirsch]

Der Defender reicht.

 

[derdiedasnicolas]

Zu Windowsfragen würde ich ein Windows-Forum empfehlen.
Es bleibt die Frage, was man unter einem renommierten Anbieter verstehen kann.
Die die am meisten Werbung machen?

Natürlich nicht. Komische Frage. Natürlich Anbieter, die erfahrungsgemäß zuverlässige Dienste leisten. Warum sollte ich das Forum wechseln, wenn es hier gerade thematisiert wird? Sicherlich bin ich nicht der einzige, der ggf. zweigleisig fährt und hier fühle ich mich wohl. ;-)

 

[Ezekeel]

Der Defender reicht.

This. Und gesunder Menschenverstand. Die meiste Schadsoftware wird doch mittlerweile ehe via social engineering eingeschleust als durch versagene Scanner. Das ist teilweise schon erschreckend, worauf die Leute alles so klicken und was gestartet wird. Ich möchte in einem mittelständischen Unternehmen kein Verantwortlicher für IT-Sicherheit sein. Die Leute hassen Dich für die nötigen Einschränkungen und wenn was passiert (und da ist die frage nicht „ob“, sondern „wann“) bist Du schuld…

 

[oldspike333]

ich schalte bei windows immer die UAC auf höchste stufe, sobald ein prozess was am system ändern will wird nachgefragt und man muss dies erst bestätigen
das bringt schon ganz viel