02/07/2019

Virenscanner – Allheilmittel oder Risikofaktor?

Auch kontroverse Themen müssen diskutiert werden. Einem besonders kontroversen widmet sich der aktuelle Blogbeitrag:

Virenscanner sind derzeit (zumindest auf Windows-Systemen) allgegenwärtig und werden als Standardmaßnahme in der Security gesehen. Benutzer sind so sehr an sie gewöhnt, dass kaum jemand wagt, ihren Nutzen anzuzweifeln. Dabei gehen von Virenscannern selbst durchaus potenzielle Risiken aus, wie z. B.

Systemausfälle durch sogenannte False-Positives
Ein Beispiel: Der Virenscanner löscht legitime System- oder Programmdaten, weil er sie aufgrund fehlerhafter Prüfsignaturen als schädlich einstuft, was zur Folge hat, dass das Betriebssystem oder ein kritisches Applikationsprogramm nicht mehr funktioniert. Vorfälle in denen wegen fehlerhafter Prüfsignaturen oder Kompatibilitätstests industrielle PC-Systeme nicht mehr funktionieren, treten im Anlagenumfeld immer wieder auf.

Virenscanner als Schwachstelle
Damit ein Virenscanner effektiv arbeiten kann, muss er bestimmte Systemprivilegien erhalten, weil sonst der Blick auf Programmabläufe verwehrt bliebe. Damit wird über den Virenscanner potenziell ein Tor für allfällige Schadcodes oder Angreifer geöffnet, falls der Virenscanner selber Schwachstellen hat.

Virenscanner unterwandern Security Maßnahmen der Systeme
Sie können beispielsweise HTTPS-Verbindungen unterbrechen und die intensiv getesteten Validierungsmechanismen durch selbst entwickelte ersetzen. Dadurch werden sogenannte Man-in-the-middle-Angriffe erleichtert. Damit ist gemeint, dass sich der Hacker selbst – oder sein schädliches Tool – zwischen dem eigentliche User und der von ihm angepeilten Ressource platziert (eine Bank-Website oder ein E-Mail-Konto). Der Hacker kann dann mitlesen oder sich sogar als Eigentümer der Nachricht ausgeben und damit Informationen einfordern oder abfangen. Diese Attacken können sehr effektiv sein und sind oft schwer zu entdecken.

Wann ist ein Virenscanner dann eigentlich sinnvoll?

In einem typischen Büroumfeld, welches häufiger Virenattacken durch Mails und Internetsurfen ausgesetzt ist, darf der Virenschutz nach wie vor als gute Maßnahme angesehen werden, weil hier der Vorteil gegenüber oben beschriebener Nachteile dennoch überwiegt. Während ein Schutz gegen Massen-Malware noch einigermaßen gegeben ist, kann der Nutzen von klassischen Virenscannern zum Schutz vor gezielten Angriffen jedoch als vernachlässigbar angesehen werden.

Wo sollte man auf den Virenscanner verzichten?

Auf stark reglementierten Systemen, die mit Zusatzmaßnahmen ausgestattet und ausreichend von der Außenwelt isoliert sind (z.B. abgeschottete PC-Systeme für die Anlagensteuerung), ist der durch einen Virenscanner erzeugte Schutz vermutlich etwas als geringer einzustufen, als das potentielle Risiko durch den Virenscanner. Das gilt insbesondere bei Systemen, in denen ausschließlich von einem Lieferanten/Integrator freigegebene und in einem kontrollierten Update-Prozess eingebrachte Software ausgeführt wird.

Limes empfiehlt: Wirkungsvolle Schutzmaßnahmen auch abseits von Virenscannern prüfen

Auf Systemen, die bestimmte Voraussetzungen erfüllen, sollte die Umsetzung der folgenden Punkte höher priorisiert werden, als die Installation eines Virenscanners:

  1. Patchen von Security-Schwachstellen in der Plattform und Applikationen, möglichst zeitnah und in Abstimmung mit dem Systemlieferanten
  2. Kontrollierter Softwareaktualisierungsprozess, mit ausschließlicher Einbringung von Softwareänderungen durch den definierten den Systemverantwortlichen (intern oder Systemlieferant)
  3. Keine Nutzung von Datentransfermechanismen wie Internetsurfen oder Abruf von E-Mails auf dem System
  4. Bei Datentransfer mittels externen Datenträgern bzw. Übermittlung über Netzwerk: Virenscan auf eigens dafür vorgesehenen Datenschleusensystemen, bevor der Datenträger angesteckt werden darf, bei Übermittlung über Netzwerk Nutzung von Jump-Hosts
  5. Nutzung von Application-Whitelisting (z. B. in aktuellen Windows-Betriebssystemen mittels Applocker) gestützt durch den Systemlieferanten, zur Blockierung jedweder unbekannter, nicht freigegebener Software sowie generell Härtung von Systemen
  6. Isolation von weniger gut geschützten Systemen durch z. B. Firewalls oder ACLs (Mikrosegmentierung)
  7. Restriktive Vergabe von Benutzerrechten an Personen- und Serviceaccounts
  8. Kein interaktiver Zugriff mittels Remote-Desktop oder anderen Remote-Access-Mitteln, außer zur Administration des Systems.

Bei diesen Systemen, welche – wie oben beschrieben – durch geeignete andere Maßnahmen gegen Schadsoftware geschützt sind, ist auch ohne einen Virenscanner die Wahrscheinlichkeit einer Vireninfektion auf ein angemessenes Maß reduziert. Die Auswahl des geeignetsten Schadsoftwareschutzes sollte immer basierend auf Technologie/Rahmenbedingungen/Risiko basieren.

>> Den umfangreichen Fact-Sheet zum Thema Virenscanner können Sie #HIER downloaden.