Pro und Contra: AV-Software deinstallieren

Peter Marwan,
Malware (Bild: Shutterstock.com/Maksim Kabakou)

Ein ehemaliger Firefox-Entwickler hat Antivirensoftware für Windows-Rechner scharf kritisiert: Sie schade mehr, als sie nütze, weil sie zu tief in das System eingreife, andere Programme behindere und selbst Sicherheitslücken aufweise. Doch soll man seinem Rat folgen und AV-Software deinstallieren?

Robert O’Callahan, ehemaliger Firefox-Entwickler, hat mit einem Blog-Beitrag eine ähnliche Debatte angestoßen wie Symantec-Manager Brian Dye 2014 mit der etwas unglücklichen und von den Medien dazu noch aus dem Zusammenhang gerissenen Bemerkung “Anti-Virussoftware ist tot“. Während Dye aber lediglich für eine neue Generation von AV-Software plädierte, meint es O’Callahan deutlich ernster. Seiner Ansicht nach richtet Antivirus-Software für Windows-Rechner mehr Schaden an als dass sie nützt. Anwender sollten daher keine mehr kaufen und falls sie schon eine besitzen, diese deinstallieren. Lediglich Microsofts Windows Defender hält er für nützlich.

Malware (Bild: Shutterstock/Blue Island)

Allerdings sei das in der Branche ein Tabu-Thema, da Anbieter von Software auf die Unterstützung von AV-Anbietern angewiesen seien. Er könne sich das nun lediglich deshalb erlauben, weil er nicht mehr für Mozilla arbeitet. Fehler in einer Antivirensoftware, die einem anderen Produkt schaden, könne leider nur der Anbieter der Antivirensoftware beseitigen. Und wenn ein Produkt aufgrund einer Antivirensoftware beim Start abstürzt oder ausgebremst wird, machen Nutzer dafür nicht den Anbieter der Sicherheitssoftware, sondern den des Produktes verantwortlich.

O’Callahan begründet seine Aufforderung, AV-Software zu deinstallieren, mit Fehlern, die Forscher von Googles Project Zero im Sommer 2016 in Sicherheitssoftware von Symantec aufgedeckt haben. Diese Bugs zeigen O’Callahan zufolge, dass derartige Produkte zahlreiche Angriffsmöglichkeiten bieten und deren Entwickler Standard-Sicherheitsregeln generell nicht befolgen. Damals erklärte sich die große Zahl der betroffenen Symantec- und Norton-Produkte allerdings auch dadurch, dass alle dieselbe Core Engine verwenden, in der die gefundenen Fehler steckten.

Sicherheitslücken in Sicherheits-Software

Er hätte aber auch schon im September von Googles Project Zero und dessen Experten Tavis Ormandy in Produkten von Kaspersky und FireEye gefundene oder im Dezember 2015 von Ensilo veröffentlichte Sicherheitslücken in Produkten von AVG, Kaspersky und McAfee anführen können. Zum Zeitpunkt der Veröffentlichung hatten diese drei Anbieter die Lücken bereits geschlossen. Ensilo ging damals davon aus, dass auch Software anderer Anbieter und somit so eventuell “Millionen von Anwendern” betroffen sind. Die Schwachstellen ermöglichten es, Sicherheitsfunktionen wie Adress Space Layout Randomization (ASLR) und Data Execution Prevention (DEP) zu umgehen und diese Programme für Attacken gegen Windows-Systeme zu missbrauchen.

Andreas Marx, Geschäftsführer von AV-Test (Bild: AV-TEST)
Andreas Marx, Geschäftsführer von AV-Test: “Warum sich der Entwickler ausgerechnet für Microsoft ausspricht, ist uns nicht ganz klar. Der Windows Defender (bzw. die Security Essentials) bietet immerhin einen Grundschutz, der allerdings mit den meisten Freeware- oder Kaufversionen nicht ganz mithalten kann”, so Marx unter Verweis auf aktuelle Testergebnisse aus seinem Hause (Bild: AV-Test).

Genau bei diesen Sicherheitsfunktion setzt auch O’Callahan mit seiner Kritik an. Nachdem die in Firefox für Windows implementiert wurde, hätten viele Sicherheitsanbieter diese Implementierung durch eigene, nicht ASLR-konforme DLLs in Browserprozesse zerstört. Generell wirft er den Anbietern von Sicherheitssoftware vor, dass sie es mit schlecht implementiertem Code Browser-Anbietern und Entwicklern anderer Software erschweren, die Sicherheit ihrer Produkte zu verbessern.

Experten halten an früheren Empfehlungen fest

Verbraucher und Unternehmensanwender dürften durch die Ausführungen von O’Callahan verwirrt sein. Schließlich raten Experten im Zuge der Warnungen vor Malware und anderen IT-Sicherheitsbedrohungen immer wieder dazu, nicht nur Anwendungen und Betriebssystem aktuell zu halten, sondern auch eine aktuelle Antivirensoftware zu nutzen. Zum Beispiel heißt es in einer Empfehlung der Initiative “Deutschland sicher im Netz” (DsiN) vom Dezember 2016: “Schützen Sie sich mit passender Software: Verwenden Sie Phishing-Filter und Spamfilter. Achten Sie auf einen aktuellen Antivirenschutz und erlauben Sie die E-Mailprüfung für Viren.” Auch das BSI rät auf den “BSI für Bürger”- Seiten: “Unter Windows ist eine gute Antiviren-Software unerlässlich, da Windows-Rechner aufgrund ihrer weiten Verbreitung am häufigsten angegriffen werden.” Ist das nun alles hinfällig?

Bundesamt für Sicherheit in der Informationstechnik (Grafik: BSI)

DsiN-Geschäftsführer Michael Littger erklärt auf Anfrage von silicon.de: “Antiviren-Software bleibt ein wichtiger Baustein für IT-Schutz. Natürlich gibt es Unterschiede bei Qualität und Leistung.” Er empfiehlt daher den Blick in neutrale Bewertungsportale, bemängelt aber auch, dass die dort gegeben Bewertungen gerade ältere Nutzer oftmals überforderten.

Littger weiter: “Erforderlich ist, dass Bürger und Unternehmen insgesamt über Schutzmaßnahmen besser und direkter aufgeklärt werden. Dazu gehört auch, kuriose E-Mail-Anhänge nicht zu öffnen und Sicherheits-Updates durchzuführen. Zugleich brauchen wir einen Dialog mit der Wirtschaft, wie Software und Hardware mit Auslieferung sicherer werden kann – sowie auch nach Entdeckung von Sicherheitslücken schneller reagiert werden kann.”

Das BSI erklärt dagegen auf Nachfrage von silicon.de knapp: “Wir haben die Aussagen von Mr. O’Callahan zur Kenntnis genommen. Aus unserer Sicht besteht jedoch derzeit kein Grund, von unseren bisherigen Empfehlungen in Bezug auf den Einsatz von Antivirenprogrammen abzurücken.”

Allerdings ist Windows Defender ja auch eine Antiviren-Software. Ob es eine “gute Antiviren-Software” ist, ist dagegen umstritten. Die aktuellsten Testergebnisse der beiden renommiertesten AV-Testlabore im deutschsprachigen Raum – AV-Test in Magdeburg (für Windows 8 und Windows 10) sowie von AV-Comparatives in Innsbruck (“Real World Protection Test“) – legen zumindest nahe, das es nicht die beste auf dem Markt verfügbare Lösung ist.

Ja, auch Security-Software hat Fehler …

Zur Klärung der Sachlage hat silicon.de auch bei den AV-Testlaboren nachgefragt. In deren Untersuchungen kommt der Windows Defender meist nicht über das hintere Mittelfeld hinaus. Sowohl AV-Test als auch AV-Comparatives geben O’Callahan in Bezug darauf Recht, dass AV-Anbieter mehr tun könnten, um ihre eigenen Produkte abzusichern. Seine Schlussfolgerungen können sie jedoch nicht nachvollziehen. Das erfordert eine etwas ausführlichere Erklärung.

Real World Protection Test zweites Halbjahr 2016 (Grafik: AV-Comparatives)
Dem “Real World Protection Test” von AV-Comparatives für das vergangene halbe Jahr zufolge gehört der Windwos Defender nicht zu den leistungsfähigsten AV-Produkten (Grafik: AV-Comparatives)

Andreas Marx, einer der drei Geschäftsführer von AV-Test, teilt silicon.de in einer Stellungnahme mit: “Die Vorwürfe sind grundsätzlich richtig. Antiviren- und Sicherheits-Software sind genauso angreifbar – und haben ebenso Bugs – wie alle anderen Softwareprodukte auch, sei es Windows oder Browser. Das haben wir schon 2005 und 2006 auf Konferenzen nachgewiesen (PDF). Richtig ist auch, dass die Hersteller von Antivirensoftware zu wenig tun, um die Probleme abzustellen. Beispielsweise ist der Einsatz von DEP/ASLR ist immer noch unzureichend, was wir regelmäßig testen und aufzeigen, zuletzt 2015.” Immerhin wurde damals eine spürbare Verbesserung gegenüber dem Vorjahr konstatiert.

Einsatz von DEP und ASLR in Anti-Viren-Software (Stand: Ende 2015)
Einsatz von DEP und ASLR in Anti-Viren-Software (Stand: Ende 2015)

Ähnlich äußerte sich Peter Stelzhammer von AV-Comparatives im Gespräch mit silicon.de. Auch er machte deutlich, dass jeder Code Bugs aufweisen kann – räumte aber auch ein, dass es die Aufgabe der Anbieter von Sicherheits-Software sein müsse, diesbezüglich besonders aufmerksam zu sein. Er lobte zudem das Project Zero, weil es Bugs aufzeigt und hilft sie zu fixen, wies aber auch darauf hin, dass AV-Softwareanbieter in der Regel sehr schnell reagieren. Soweit geben die AV-Experten O’Callahan also grundsätzlich Recht. Allerdings teilen sie seien weitere Argumentation nicht – wenn auch aus unterschiedlichen Gründen.

… das ist aber kein Grund, auf sie zu verzichten.

“AV-Software wirkt trotzdem sehr gut gegen ‘Massenangriffe’. Aus diesem Grund empfehlen wir vom AV-TEST Institut auch ganz klar den Einsatz von Virenschutzprogrammen”, so Marx. “Insbesondere gegen Exploits für sehr neue Schwachstellen kann sich selbst ein geschulter ‘vorsichtiger’ Nutzer so gut wie nicht anders schützen. Er würde unbemerkt infiziert werden und ohne AV-Software merkt er es wahrscheinlich nie.”

Die Lücken in AV-Software könnten laut Marx möglicherweise für gezielte Angriffe genutzt werden. Davon seien aber normale Nutzer eher nicht betroffen, sondern Regierungsorganisationen und Firmen. Hier gibt es ja aber spezialisierte Anbieter, die versprechen, diese Lücke zu schließen beziehungsweise zu erkennen, wenn versucht wird, sie auszunutzen.

Labor von AV-Comparatives (Bild: AV-Comparatives)
“Den Einsatz von AV-Software von Drittanbietern halten wir dennoch für essenziell. Dabei geht es gar nicht um die Erkennungsrate im Einzelnen, sondern um die Vielfalt: Bei rund 40 wichtigen Anbietern müssen die ‚bösen Jungs‘ 40 Tools umgehen. Wenn nur noch Defender genutzt würde, dann müsste, um Rechner massenhaft zu infizieren, nur ein Produkt überwunden werden. Man kann beim Vergleich mit bei Java oder Adobe Reader erahnen, wohin das führen würde”, so Peter Stelzhammer. (Bild: AV-Comparatives)

Auch Stelzhammer hält den Einsatz von AV-Software von Drittanbietern weiterhin für wichtig. Er plädiert zudem für ein breites Anbieterfeld: Würde sich jedermann wie von O’Callahan empfohlen ausschließlich auf den Windows Defender verlassen, entstünde bald eine Monokultur, wie man sie von Java oder Adobe Reader kennt. Die zählen seit Jahren regelmäßig zu den Software-Produkten mit den meisten aufgedeckten Lücken – was auch dadurch bedingt ist, dass sie aufgrund der weiten Verbreitung für Angreifer ausgesprochen attraktive Ziele sind.

Marx bricht zudem eine Lanze für die AV-Anbieter: “Die Browser-Hersteller geben ein enormes Tempo vor, was neue Versionen anbelangt – und die AV-Hersteller müssen hier immer wieder nachziehen und auch laufend nachbessern, weil sich etwa Schnittstellen geändert haben oder neue Funktionen hinzugekommen sind. Und während sich das Firefox-Team auf Firefox konzentrieren kann, müssen die AV-Hersteller alle wichtigen Browser im Blick behalten und ihre Schutzsysteme ständig mit Updates dafür versorgen. Ganz zu schweigen von den ganzen anderen Programmen, über die Malware auf einen Rechner gelangen kann.”

Und zu denen gehört übrigens auch Firefox – auch wenn sich der Browser in letzter Zeit stetig verbessert hat. Aber vielleicht stammen ein paar der Lücken, die in den letzten Versionen geschlossen wurden ja noch aus der Tastatur von O’Callahan. Erfahren wird man das wohl nie.