Lohnt sich noch ein Virenscanner?

Foto: ©HSB-Cartoon/Fotolia.com

Anfang des Jahres sorgte der ehemalige Firefox-Entwickler Robert O’Callahan für ziemlich viel Aufregung, als er dazu aufrief, die Antivirenprogramme auf den PCs zu deaktivieren, weil sie mehr schaden als schützen würden. So könnten Antiviren-Lösungen zum Beispiel Schutzmaßnahmen in der Browser-Software aushebeln und die automatische Installation von Updates verhindern und würden dadurch selbst zu einem Sicherheitsproblem.

O’Callahan legte zwar den Finger in eine bekannte Wunde, zu einem kompletten Verzicht auf Malware-Schutz riet aber auch er nicht. Für ihn bieten die Microsoft-eigene Sicherheitssoftware Windows Defender zusammen mit einem aktuellen Betriebssystem genügend Schutz gegen Gefahren aus dem Netz.

Die meisten Schädlinge kommen immer noch per E-Mail

Dass seitdem massenhaft Antivirus-Software deinstalliert wurde, ist eher unwahrscheinlich, zumal auch das BSI davon abgeraten hat. Die Frage, ob klassische Antivirenprogramme noch ausreichend vor den Gefahren durch Malware schützen, steht dennoch im Raum und wird derzeit wieder häufiger gestellt. Vor allem die Ransomware-Wellen der letzten Monate haben das Thema Malware-Schutz wieder ganz nach oben auf die Sicherheitsagenda der Unternehmen katapultiert. Die meisten Krypto-Trojaner kommen per E-Mail – entweder direkt im Anhang oder als Downloader. In einer Umfrage des BSI aus dem letzten Jahr wurden E-Mail-Anhänge in über 80 Prozent der Fälle als Infektionsquelle für Erpressungstrojaner genannt.

Konventionelle Malware verdient genauso viel Aufmerksamkeit wie Ransomware

Spektakuläre Ransomware-Fälle bekommen zwar große mediale Aufmerksamkeit, sind aber nur die sichtbare Spitze des Malware-Eisbergs. Während erfolgreiche Ransomware-Infektionen sofort nach Aktivierung spürbar werden, suchen traditionelle Trojaner, Würmer und Viren nicht das Rampenlicht, sondern verrichten ihr Werk bevorzugt im Verborgenen. Allerdings können Trojaner, die unbemerkt über Wochen Daten abgreifen, wesentlich unangenehmere Folgen haben als verschlüsselte Daten auf einer Festplatte.

640 Millionen Schadprogramme allein für Windows hat das Magdeburger Institut AV-Test 2016 gezählt und nur 0,94 Prozent davon war Ransomware. Allerdings schaffte es eine davon, nämlich Virlock, mit rund 3 Millionen Samples auf Platz vier der am häufigsten entdeckten Exemplare. Die große Mehrheit der Schädlinge waren Viren (37,6%), Würmer (25,4%) und klassische Trojaner (ohne Krypto- und Passwort-Trojaner) mit über 23 Prozent. (Den vollständigen Security Report von AV-Test können Sie hier herunterladen.) Konventionelle Malware ist auch für die meisten der bekannten Sicherheitsvorfälle verantwortlich, genauer gesagt für mehr als die Hälfte, wie eine Umfrage von Kaspersky Lab unter Industrieunternehmen ergab. Experten gehen außerdem von einer hohen Dunkelziffer aus.

AntiVirus für E-Mail zahlt sich immer noch aus

Angesichts dieser Zahlen und der Tatsache, dass die E-Mail immer noch der häufigste und erfolgreichste Verbreitungskanal für Schadprogramme ist, sollten Unternehmen auf einen guten Virenschutz für ihre E-Mail vorerst besser nicht verzichten. Damit lässt sich das Infektionsrisiko zwar nicht komplett eliminieren, aber schon mal deutlich reduzieren.

Ein häufig genanntes Argument gegen signaturbasierte Virenscanner ist, dass sie nur die schon bekannten Schädlinge erkennen. Das stimmt, doch wie der AV-Test Report zeigt, sind  das ziemlich viele. Und viele davon sind nach wie vor unterwegs. Darüber hinaus aktualisieren gute Anbieter ihre Signaturen wenn nötig mehrmals täglich bzw. ergänzen diese durch cloudbasierte Erkennungsverfahren. Sobald eine Datei als schädlich eingestuft wird, werden die Datenbanken des Herstellers aktualisiert und teilen ihr Wissen mit den lokalen Virenscannern bereits vor der Verfügbarkeit eines Signaturen-Updates. Wer nicht gleich von der allerersten Welle eines neuen Trojaners „erwischt“ wurde, hat somit gute Chancen, bei der zweiten schon geschützt zu sein.

Jeder moderne Virenschutz arbeitet heute auch mit heuristischen Analysen. Diese suchen nach Malware-typischen Merkmalen oder Verhaltensweisen, um neue Viren und Angriffswellen zu erkennen. Verdächtige E-Mails werden vorübergehend isoliert und zurückgehalten, bis der Verdacht bestätigt oder entkräftet werden kann.

Viele Spam-Kampagnen wollen längst kein Viagra mehr verkaufen, sondern haben es auf die Daten der Benutzer und Unternehmen abgesehen. Laut einem aktuellen Sicherheitsbericht von Trustwave enthielten letztes Jahr bereits 35 Prozent aller Spam-Nachrichten Malware. Deshalb macht ein Antivirenprogramm allein wenig Sinn, sondern sollte immer mit einer guten Anti-Spam-Lösung kombiniert werden.

E-Mail Virenschutz nur „first line of defense“

In der Diskussion um den Sinn oder Unsinn von Antiviren-Programmen taucht auch immer wieder der Kritikpunkt auf, dass sich Anwender zu sehr auf die Produkte verlassen und andere Schutzmaßnahmen deswegen vernachlässigen. Dabei gibt es auch beim Virenschutz keine absolute Sicherheit. Sowohl die Schadprogramme als auch die E-Mail Kampagnen für ihre Verbreitung werden immer spezifischer. Gerade erst hat der letzte McAfee Labs Threats-Report ausführlich analysiert, mit welchen Tricks Malware-Entwickler Sicherheitsprodukte zu umgehen versuchen. Deshalb sollten Unternehmen die Antivirenprogramme immer nur als Basisschutz gegen bekannte bzw. erkennbare Malware sehen und zusätzlich noch in andere Maßnahmen investieren. Zum Beispiel in das:

Training der Mitarbeiter

Leider immer noch zu sehr vernachlässigt, dabei sind sensibilisierte und informierte Mitarbeiter, die anhand echter Beispiele und fingierter Angriffe gelernt haben, wie sie Phishing und andere gefährliche Mails erkennen können, die beste Verteidigung.

Web Security

Schadprogramme werden nicht nur per E-Mail Anhang sondern auch als Drive-by-Download über infizierte Webseiten übertragen. Diese Art von Verbreitung hat laut AV-Test in diesem Jahr deutlich zugenommen. Meist werden dafür Sicherheitslücken im Browser ausgenutzt. Schützen kann man sich mit aktueller Browser-Software und mit speziellen Web-Security Services, die Schadcode und infizierte Webseiten erkennen und den Zugriff blockieren. Über 90 Prozent der verseuchten Webseiten sind übrigens http-Seiten, haben also keine SSL-Verschlüsselung.

Patch Management & Backup

Die wichtigste Lektion der letzten Ransomware-Angriffe war:  Wer aktuelle Betriebssysteme hat und rechtzeitig Security-Patches einspielt, hat weniger Sorgen mit Schadprogrammen, die bekannte Sicherheitslücken ausnutzen. Und falls sich doch eine Ransomware erfolgreich installieren konnte, bewahren aktuelle Backups vor Datenverlust und Lösegeldzahlungen.

Welche Vorteile ein Managed Security Service gegenüber einer selbst gemanagten Antiviren-Software hat, steht in dem Beitrag „7 Gründe für AntiVirus und AntiSpam als Managed Service“.