{"id":11001,"date":"2025-12-05T22:42:27","date_gmt":"2025-12-05T21:42:27","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=11001"},"modified":"2025-12-05T22:44:19","modified_gmt":"2025-12-05T21:44:19","slug":"gefahr-antivirensoftware","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/gefahr-antivirensoftware\/","title":{"rendered":"So gef\u00e4hrden dich Antivirenprogramme, statt zu sch\u00fctzen"},"content":{"rendered":"

Die Antivirus-Industrie hat euch seit 20 Jahren belogen: Das sagte keine geringerer als die Gesch\u00e4ftsf\u00fchrerin von Trend Micro – schon 2008.1<\/a><\/sup> Trotzdem behaupten selbst renommierte Quellen, ein Virenschutz sei f\u00fcr die Sicherheit unverzichtbar. In Unternehmen geh\u00f6rt er oft zur Standard-Ausstattung. Bieten Virenscanner \u00fcberhaupt Schutz? Existieren bessere Alternativen? Mit \u00fcber 90 Quellen wirft dieser Beitrag einen umfassenden Blick auf die dunkle Seite der Antiviren-Industrie bis heute, abseits von bunten Werbeversprechen. Sie sieht deutlich d\u00fcsterer aus, als es viele Hersteller bis heute mit ihrem Buzzword-Bingo suggerieren.<\/p>\n

Wie funktionieren Antivirenprogramme?<\/h2>\n

Auf Desktop-Computern und Laptops wird seit ich denken kann von vielen ein Antivirenscanner empfohlen. Der urspr\u00fcngliche Gedanke dabei: Die Hersteller der Programme sammeln Pr\u00fcfsummen (Fingerabdr\u00fccke<\/em>) von Viren, Trojanern und anderer bekannten Sch\u00e4dlingen in einer Datenbank. Das Antivirenprogramm pr\u00fcft alle Inhalte auf dem lokalen Computer, ob sie mit den bekannten Virensignaturen \u00fcberein stimmen. Man kann es sich vorstellen wie beim Check-in am Flughafen: Alle Passagiere werden mit verschiedenen Listen von bekannten, gesuchten Kriminellen abgeglichen. Nur wenn es keine Treffer gibt, d\u00fcrfen die Personen an Board.<\/p>\n

Das Flugzeug ist damit aber nicht 100% frei von kriminellen, sondern von bekannten<\/strong> Kriminellen. Jemand der z.B. mit einer falschen Identit\u00e4t eingecheckt hat oder bisher nicht erwischt wurde, befindet sich in keiner Fahndungsdatenbank und wird folglich an Board gelassen. Dieses Problem haben auch die Antivirenscanner: Neue Schadsoftware erkennen sie oft nicht sofort, sondern erst nach einiger Verz\u00f6gerung – wie Banditen an der Einlasskontrolle. Und das ist ein ernstes Problem: Das Bundesamt f\u00fcr Informationssicherheit (BSI) stellt auf Seite 13 ihres Berichtes von Mitte 2021 bis Mitte 2022 durchschnittlich rund 319.000 neue Varianten von Schadprogrammen fest – pro Tag. W\u00e4hrend du erst den Anfang des Beitrags gelesen hast, sind schon hunderte neue Sch\u00e4dlinge in Umlauf.2<\/a><\/sup><\/p>\n

Erkennungsrate: Top oder Flop?<\/h2>\n

Es ist daher sehr schwierig, objektiv zu messen, wie hoch die Erkennungsquote wirklich ist. Die Stiftung Warentest ermittelte bei einem 2012 durchgef\u00fchrten Test von 18 Antivirenscannern mit 1.800 Sch\u00e4dlingen Erkennungsquoten von 36 bis 96%.3<\/a><\/sup> Der Vizechef von Symantec gab 2014 zu, dass Antivirenscanner nur durchschnittlich 45% aller Angriffe erkennt – und sprach aufgrund dieser schlechten Quote vom Tot der Branche.4<\/a><\/sup> Noch desastr\u00f6ser war das Praxisexperiment vom Sicherheits-Blogger Brian Krebs: Er hatte alle Schadsoftware der Uni Alabama at Birmingham<\/em> auf Virustotal hochgeladen. Dort werden sie mit einer Vielzahl von Antivirenscannern gepr\u00fcft. Die durchschnittliche Erkennungsrate lag bei rund 25%.5<\/a><\/sup> Ein direkter Vergleich ist aufgrund der unterschiedlichen Messmethoden schwierig. In jedem Falle zeigen die Ergebnisse: Ein Gro\u00dfteil der bekannten Schadsoftware wird nicht zuverl\u00e4ssig erkannt.6<\/a><\/sup><\/p>\n

Um das zu verbessern, wurde versucht, das bislang reaktive Vorgehen durch ein proaktives zu erg\u00e4nzen: Neben bekannten Signaturen schaut sich der Virenscanner an, ob ein Programm irgendwie verd\u00e4chtig ist. Bei einer heuristische Analyse wird versucht, den Quellcode zu dekompilieren. Stimmt ein gewisser Prozentsatz mit bekannter Schadsoftware \u00fcberein, stuft man sie ebenfalls als sch\u00e4dlich ein. Oder der Virenscanner \u00fcberwacht, was ein Programm tut. Bestimmte Verhaltensweisen f\u00fchren zu einer Erkennung als Virus. Theoretisch sollen damit auch neue, bisher unbekannte Varianten sofort erkannt werden. Hier entfernt man sich aber zunehmend von einer seri\u00f6sen, auf Fakten basierten Bedrohungsabwehr, wodurch eine hohe Fehlerrate entsteht. Zeitgleich l\u00e4sst sich diese schon damals als angeblich revolution\u00e4r beworbene Technik auch heutzutage noch immer recht leicht austricksen.7<\/a><\/sup><\/p>\n

Die Probleme<\/h2>\n

Unabh\u00e4ngig davon, ob wir nun 36% oder \u00fcber 90% Erkennungsrate haben: Im weniger schlechtesten Falle kommen mindestens tausende Sch\u00e4dlinge durch – pro Tag und trotz Virenscanner. Gerade die, wo nicht erkannt werden, sind unter Umst\u00e4nden genau jene, welche im eigenen Land am verbreitetsten sind.8<\/a><\/sup> Selbst wenn man Labortests glauben mag, in denen die besten \u00fcber 99% Erkennungsrate lieferten, sagt das in der Praxis wenig. Schon einer reicht, um eure Daten zu verschl\u00fcsseln, zu klauen, in eurem Namen Straftaten zu begehen usw.<\/p>\n

Nun kann man argumentieren, dass selbst vom schlechtesten Antivirenprogramm ja mehr als nichts gefunden wird – also kann es im Zweifel nicht schaden? \u00dcbersehen wird hierbei, welche Macht und Komplexit\u00e4t solche Programme mitbringen. Sie enthalten Code f\u00fcr extrem viele Dateiformate, um pr\u00fcfen zu k\u00f6nnen, ob etwas sch\u00e4dliches drin ist. Das ist ein Risiko, weil viele Formate eben auch Sicherheitsl\u00fccken enthalten. Antivirenprogramme laufen mit hohen Rechten, um alles auf dem Computer anschauen zu d\u00fcrfen. Sie nisten sich tief ins System ein. Durch Sicherheitsl\u00fccken in Virenscannern erlangen Angreifer oft volle Rechte ohne Zutun des Nutzers.9<\/a><\/sup>10<\/a><\/sup>11<\/a><\/sup>12<\/a><\/sup>13<\/a><\/sup>14<\/a><\/sup>15<\/a><\/sup>16<\/a><\/sup>17<\/a><\/sup>18<\/a><\/sup>19<\/a><\/sup>20<\/a><\/sup>21<\/a><\/sup>22<\/a><\/sup>23<\/a><\/sup>24<\/a><\/sup>25<\/a><\/sup>26<\/a><\/sup>27<\/a><\/sup>28<\/a><\/sup> Teilweise erm\u00f6glichen sie das Zerst\u00f6ren von Daten29<\/a><\/sup>30<\/a><\/sup> oder helfen Schadsoftware bei der Infektion.31<\/a><\/sup>32<\/a><\/sup> Es gibt F\u00e4lle, in denen der Besuch einer pr\u00e4parierten Seite ausreicht, um beliebigen Schadcode auf dem System des Opfers ausf\u00fchren zu k\u00f6nnen.33<\/a><\/sup>34<\/a><\/sup> Bei Microsoft wurde Beispielsweise die Liste von Ausnahmen nicht gesch\u00fctzt: Viren & co. konnten sich somit einfach selbst als Ausnahme eintragen, um vom Virenscanner vollst\u00e4ndig ignoriert zu werden. Der Konzern hielt es nicht einmal f\u00fcr n\u00f6tig, die Nutzer dar\u00fcber zu informieren. 35<\/a><\/sup> Dies ist besonders brisant, weil Microsoft ihren eigenen Antivirenscanner in Windows 10\/11 integriert und automatisch aktiviert haben. Auch in anderen F\u00e4llen gelang es Angreifern, durch Fehler in der Antivirensoftware diese abzuschalten, um ungest\u00f6rt Schadcode ausf\u00fchren zu k\u00f6nnen.36<\/a><\/sup><\/p>\n

Schwere M\u00e4ngel: Mehr Alltag als Ausnahme<\/h2>\n

Und Schwachstellen sind keine Seltenheit. Trend Micros brachte es in einem Update auf satte f\u00fcnf Sicherheitsm\u00e4ngel – bei zwei davon war bekannt, dass sie vor Verf\u00fcgbarkeit einer Korrektur bereits ausgenutzt wurden (0day Exploit).37<\/a><\/sup> Es passiert teilweise sogar, dass Hersteller mehrere Anl\u00e4ufe brauchen, um diese wirklich abzudichten. Bei Avast waren es vier Anl\u00e4ufe f\u00fcr insgesamt zehn kritische Sicherheitsm\u00e4ngel.38<\/a><\/sup> Obwohl diese Software besonders sicherheitskritisch ist, machen solche F\u00e4lle deutlich, wie erschreckend niedrig die Sicherheitsvorkehrungen sowie Standards dort sein m\u00fcssen. Von keiner Reinigungsfachkraft, die zum Mindestlohn angestellt ist, w\u00fcrde man es sich bieten lassen, dass sie zehn schwere Fehler begeht und 4x nachbessern muss. Besonders zerst\u00f6rerisch war eine 2020 entdeckte Schwachstelle, die nicht mal nur auf ein bestimmtes Antivirus-Produkt beschr\u00e4nkt war: Sage und schreibe 28 Antivirenscanner besa\u00dfen Sicherheitsm\u00e4ngel, wodurch Angreifer beliebige Dateien l\u00f6schen konnten – inklusive Teile des Antivirenprogramms selbst.39<\/a><\/sup><\/p>\n

Dank der WikiLeaks-Enth\u00fcllungen wissen wir auch, was der Auslandsgeheimdienst der USA von Antivirensoftware h\u00e4lt. Sie haben sich verschiedene angeschaut, mit meist sehr ern\u00fcchternden Ergebnissen: Comodo sei eine Nervens\u00e4ge in damals \u00e4lteren Versionen, die neueren dagegen deutlich leichter zu knacken. Avira sei etwa typischerweise leicht um zugehen. F-Secure sehen sie als ein Produkt der unteren Kategorie, dass ihnen kaum Schwierigkeiten bereite. Bei AVG fanden sie einen Trick, der als „total s\u00fc\u00df“ beschrieben wurde. Kaspersky lie\u00df sich ebenfalls durch eine Schwachstelle austricksen.40<\/a><\/sup><\/p>\n

Noch mehr Gefahren: Keine neue Erkenntnis<\/h2>\n

Dies sind nur ein paar der extremsten Beispiele aus der letzten Zeit. Da Antivirenprogramme auch gerne in den Datenverkehr eingreifen, um ihn zu \u00fcberwachen, sorgen sie auch an anderer Stelle f\u00fcr Gef\u00e4hrdung: Bei Kaspersky etwa erhielten unbefugte Dritte Zugriff auf den Surfverlauf.41<\/a><\/sup> Avast Antivirus verkaufte die Daten seiner Nutzer sogar \u00fcber ein Tochterunternehmen.42<\/a><\/sup> Es gibt noch viele weitere F\u00e4lle, sowohl aktuellere als auch \u00e4ltere.43<\/a><\/sup> So entdeckten beispielsweise bereits 2007 Sicherheitsforscher die Antivirenscanner als Einfallstor und stellten seit l\u00e4ngerem eine schlechte Qualit\u00e4t bei deren Sicherheit fest.44<\/a><\/sup> 2009 ergab eine Umfrage unter Administratoren, dass 3\/4 dem Antivirenschutz nicht vertrauen. Er werde oft nur aus Gr\u00fcnden der Compliance eingesetzt.45<\/a><\/sup> Daran \u00e4nderte sich auch Jahre sp\u00e4ter wenig.46<\/a><\/sup><\/p>\n

BitDefender illustrierte dies mit zlib: Die Bibliothek wurde dort eingebaut, um Archive entpacken und pr\u00fcfen zu k\u00f6nnen. Allerdings in einer schon damals uralten Version aus dem Jahre 1998. Sie enthielt eine schwere Sicherheitsl\u00fccke, die bereits seit 2005 bekannt war. BitDefender vers\u00e4umte es nicht nur viele Monate, diese Updates einzuspielen. Der Hersteller von Antivirenprogramme wurden von den Sicherheitsforschern mehrfach auf das Problem aufmerksam gemacht. Selbst danach haben sie die Sicherheitsm\u00e4ngel nicht behoben, sondern schlichtweg ignoriert. Als \u00fcber ein Jahr lang keine Reaktion erfolgte, ver\u00f6ffentlichten die Entdecker ihren Fund.47<\/a><\/sup><\/p>\n

Auch 2014 war das Urteil desastr\u00f6s: Bei einer Untersuchung von 17 Antivirenprogrammen wurden in 14 Sicherheitsm\u00e4ngel entdeckt. BitDefender hob sich zwar als besonders Fehlerhaft hervor. Doch die anderen Programme waren kaum besser und enthielten ebenfalls schwere Sicherheitsl\u00fccken, die Angreifern eine erfolgreiche Infektion mindestens erleichtert oder sogar \u00fcberhaupt erst m\u00f6glich macht. Der Sicherheitsspezialist Thierry Zolle zeigte sich schockiert: Er hatte 2007 und 2009 ebenfalls Antivirenscanner auf Schwachstellen untersucht. Teile der 2014 von Kollegen entdeckten Funde waren die gleiche Art von Fehlern, wie bei seiner damaligen Analyse.48<\/a><\/sup> Es hat sich sieben Jahre sp\u00e4ter also nichts getan.<\/p>\n

Der Pentester J\u00e9r\u00f4me Nokin hielt 2013 einen Vortrag mit dem (\u00fcbersetzten) Titel „Verwandle dein verwaltetes Anti-Virus in mein Botnetz“. Darin untersuchte er McAffee und Symantec, die sich an Unternehmenskunden richten. Darin fand er verschiedene Schwachstellen, unter anderem SQL-Injection & Directory Path Traversal sowie zwei Wege, um durch die Antivirensoftware Code ausf\u00fchren zu k\u00f6nnen – sp\u00e4testens hier also ein Totalschaden. Dabei zeigte er unter anderem auf, wie mehrere f\u00fcr sich genommen weniger kritische Schwachstellen in Kombination zu einer \u00dcbernahme der kompletten Systeme f\u00fchren. Die Qualit\u00e4t ist in jenen Produkten, die sich explizit an Unternehmen richten, somit ebenfalls nicht besser.49<\/a><\/sup><\/p>\n

Statt daran irgend etwas zu verbessern, wird der Kundenkreis erweitert: 2019 sorgte Samsung f\u00fcr Aufsehen mit der Empfehlung, man solle seinen smarten Fernseher alle paar Wochen mit einem Antivirenprogramm \u00fcberpr\u00fcfen lassen – das sei wichtig, damit er reibungslos funktioniert.50<\/a><\/sup><\/p>\n

Wir verlagern die Antivirenprogramme in die Cloud!<\/h2>\n

Der Hype, alles in die Cloud<\/em> zu schieben, machte auch vor Antivirenscannern nicht halt. Ist dort nun alles besser? Hier muss man differenzieren zwischen klassischen Antivirenprogrammen, die nach wie auf dem Computer installiert werden und Dateien des Nutzers in deren Cloud laden. Dies ist eher eine Art Erg\u00e4nzung zu den klassischen Techniken: Die Software entscheidet, welche Dateien sie f\u00fcr verd\u00e4chtig h\u00e4lt. \u00dcber die Cloud hat der Antivirenhersteller Zugriff auf solche Daten und kann diese weiter analysieren. Dem Abfluss von sensiblen Daten ist damit allerdings ebenfalls T\u00fcr und Tor ge\u00f6ffnet: So landeten beispielsweise bereits 2014 geheime Daten des US-Geheimdienstes NSA bei Kaspersky, einem russischen Unternehmen.51<\/a><\/sup><\/p>\n

Als politische Reaktion folgte damals ein Verbot von Kaspersky auf Systemen der Regierung. Das zugrunde liegende Problem wird damit jedoch nicht gel\u00f6st: Viele Antivirenprogramme entscheiden eigenm\u00e4chtig, welche Dateien des Nutzers sie als verd\u00e4chtig<\/em> erachten und an die Server des Herstellers \u00fcbermitteln. Als Nutzer kann man nur darauf vertrauen, dass der Anbieter diese Daten nicht missbraucht oder weitergibt.52<\/a><\/sup> Schon durch Partnerschaften ist letzteres nicht der Fall. So hat Microsoft bereits seit 2016 eine Partnerschaft mit FireEye, die ebenfalls Zugriff auf Telemetriedaten enthalten. Datenlecks sind in der Branche ebenfalls kein Fremdwort.53<\/a><\/sup> Auch muss man auf den Schutz dieser fremden Server hoffen, damit unbefugte dort keine Dateien stehlen k\u00f6nnen.54<\/a><\/sup><\/p>\n

Avast hat ihre Qualifikation<\/em> daf\u00fcr besonders deutlich unter Beweis gestellt: Ihr Netzwerk wurden gehackt und haben den Angriff \u00fcber Monate hinweg lang nicht bemerkt.55<\/a><\/sup> Wie glaubw\u00fcrdig macht sich damit ein Unternehmen, das behauptet, Sicherheitsprobleme in Echtzeit zu erkennen und zu beheben?<\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Auch bei anderen Antivirenprogrammen ist die Cloud-Anbindung ein Problem. Da die dortigen Sandboxen oft Netzwerkzugriffe erlauben, k\u00f6nnen sie sogar hervorragend daf\u00fcr missbraucht werden, um Daten vom PC des Opfers zu klauen: Die Schadsoftware erzeugt eine Datei mit den Daten, welche man herausschmuggeln will. Das Antivirenprogramm l\u00e4dt sie unauff\u00e4llig in die Hersteller-Cloud. Durch das dortige Ausf\u00fchren kann sie wiederum ihre erbeuteten Daten an einen Server des Angreifers \u00fcbertragen.56<\/a><\/sup><\/p>\n

Dienste wie Virustotal verlagern den kompletten Pr\u00fcfprozess auf die Server des Anbieters. Sie sind dazu gedacht, um einzelne Dateien pr\u00fcfen zu lassen. Das Konzept klingt erst einmal sinnvoll: Die hochgeladenen Dateien werden von dutzenden (derzeit 70) Antivirenprogrammen gepr\u00fcft. Man erh\u00e4lt einen Bericht, welcher Virenscanner etwas gefunden hat. Das bringt seine eigenen Herausforderungen mit sich: Manche erkennen eine Datei als Schadsoftware, andere nicht. Aufgrund der o.g. Probleme gibt es nicht selten immer irgend einen Scanner, der glaubt, etwas gefunden zu haben. Selbst bei nachweislich harmlosen Programmen wie dem ~9 Monate alten ShareX f\u00fcr Bildschirmfotos. Ab wann ist eine Datei aber wirklich gef\u00e4hrlich? Wie viele von 70 Scannern m\u00fcssen anschlagen? 5? 10? Die H\u00e4lfte? Alle? Diese schwierige Interpretation bleibt dem Nutzer \u00fcberlassen.57<\/a><\/sup><\/p>\n

\n
\"\"<\/a><\/figure>\n<\/div>\n

Wie bei allen Diensten, die von Fremden betrieben werden, ist auch dieser nicht ohne Risiken: 2022 konnte jeder bei Virustotal einbrechen, eigenen Code ausf\u00fchren und hatte damit Vollzugriff auf die Systeme zur Analyse der hochgeladenen Dateien.58<\/a><\/sup> Selbst ein Konto kann jedoch f\u00fcr einige schon problematisch sein: Erst 2023 kam es zu einem Datenleck in der Nutzerdatenbank. Dadurch wurden Namen und E-Mail Adressen von rund 5.600 Kunden \u00f6ffentlich bekannt. Darunter sind zahlreiche, die solche Informationen lieber nicht \u00f6ffentlich sehen wollen – beispielsweise Nachrichten- und Geheimdienste von Deutschland sowie den USA.59<\/a><\/sup><\/p>\n

Bei anderen Diensten waren die hochgeladenen Inhalte sogar f\u00fcr jeden einsehbar. Dadurch wurden sensible, personenbezogene Unterlagen wie Bewerbungen, Arbeitsvertr\u00e4ge und sogar Unfallgutachten sowie Arztberichte \u00f6ffentlich. Vertrauliche Inhalte auf solchen Seiten hochzuladen, wie etwa eingehende E-Mail Anh\u00e4nge, ist also keine gute Idee.60<\/a><\/sup><\/p>\n

Im Zuge des aktuellen KI-Hypes auch interessant: Bei den Cloudscans wird seit einigen Jahren zunehmend auf maschinelles Lernen zur\u00fcckgegriffen. Das Update-Programm des Dolphin-Emulators f\u00fcr GameCube\/Wii-Konsolen erkennt Microsofts Antivirenscanner als Malware, weil er automatisch Programme aktualisiert, was ja sein legitimer Zweck ist. Es war aber unklar, wie das neurale Netz zu diesem Fehler kommt. Sie wissen daher nicht, wie sie das korrigieren sollen und pflegen daher stattdessen das Dolphin Update-Programm als manuelle Ausnahme nach. Dies gilt aber nur f\u00fcr die aktuelle Version. Sobald sie was am Updater ver\u00e4ndern, wird der Windows Defender es wieder f\u00e4lschlicherweise als Schadsoftware erkennen…61<\/a><\/sup><\/p>\n

Legitime Werkzeuge m\u00fcssen Methoden von Schadsoftware nutzen<\/h2>\n

Weil falsche Alarme keine Seltenheit sind, ist es interessant zu sehen, wie betroffene Entwickler damit umgehen. Ein prominentes Beispiel ist die IT-Zeitschrift c’t: \u00dcber Nacht hielten zahlreiche Antivirenscanner eine von Ihnen f\u00fcr die Leser entwickelte Software pl\u00f6tzlich f\u00fcr sch\u00e4dlich. Sogar die Browser selbst verweigerten schon das Herunterladen. Hier machte sich die Heuristik bemerkbar, die bestimmte Verhaltensweisen pauschal als Trojaner zu werten scheint – unabh\u00e4ngig vom Kontext, da sie in diesem Falle legitim waren. Teilweise ersparen sich die Hersteller sogar eine eigene Analyse und kopieren die Ergebnisse der Konkurrenz, wenn diese eine Datei als schadhaft erkannt hat.<\/p>\n

Einen zentralen Weg zur Meldung eines falschen Fundes gibt es nicht: Man muss also jeden Anbieter, der angeblich etwas gefunden hat, \u00fcber unterschiedliche Kommunikationskan\u00e4le h\u00e4ndisch kontaktieren – sofern er dies denn erlaubt. Manche bieten \u00fcberhaupt keinen Weg, um Fehlalarme zu melden oder dieser kam nicht an. Und auch wer Meldungen annimmt, reagiert nicht immer. Teilweise wurden sie wegen eines nicht n\u00e4her beschriebenen Sicherheitsproblems schlichtweg abgelehnt, oder es erfolgte keine Reaktion. Kurzum: Viel Arbeit und wenig Aussicht darauf, den Fehlalarm \u00fcberall abstellen zu k\u00f6nnen – obwohl es sich bei der Software von c’t um quelloffene Software handelte, die man \u00fcberpr\u00fcfen konnte. Zumal sich die Ergebnisse mit der Zeit unterscheiden und ggf. weitere Meldungen notwendig werden.<\/p>\n

Schlussendlich sah Heise jedoch keinen anderen Weg, als die Antivirenscanner mit einem Trick zu \u00fcberlisten: Statt die Bin\u00e4rdatei (Windows Exe) direkt anzubieten, wurde sie in ein ZIP-Archiv verpackt und dieses wiederum mit einem simplen Passwort gesch\u00fctzt. Dies k\u00f6nnen sie nicht auspacken und somit erfolgt keine Analyse – man umgeht die Programme schlichtweg. Hier sind nat\u00fcrlich auf Wegen, welche auch von Kriminellen gegangen werden. Schlie\u00dflich m\u00f6chten sie auch ihre Schadsoftware vor Antivirenprogrammen verstecken.62<\/a><\/sup> Interessant ist so etwas insbesondere f\u00fcr Schwachstellen in Antivirensoftware, die z.B. das Manipulieren der Ausnahmeliste erm\u00f6glicht: Ein Schadprogramm kann sich selbst als erlaubte Ausnahme festlegen und erst dann die sch\u00e4dlichen Bestandteile auspacken, die zum Schutz vor Entdeckung mit einem Passwort gesch\u00fctzt wurden. Oder noch besser: Gleich den Virenscanner selbst verwenden, wie es bei Rising passierte.63<\/a><\/sup><\/p>\n

Wer Googles Programmiersprache Go nutzt, muss damit rechnen, dass selbst ein nahezu leeres „Hello World“ Programm von Antivirenprogrammen als Schadsoftware erkannt und blockiert wird. Hier zeigt sich: Es wird offensichtlich keine inhaltliche Analyse gemacht. Eine ungew\u00f6hnliche<\/em> Bin\u00e4rdatei, die weniger Verbreitet ist als die anderer Compiler, reicht bereits aus64<\/a><\/sup>65<\/a><\/sup> – nach dem Motto: Der Schwarze unter lauten Wei\u00dfen wird schon was verbrochen haben, sonst w\u00e4re er ja nicht schwarz…<\/p>\n

Konflikte<\/h2>\n

Lokal installierte Antivirenprogramme greifen tief in das Betriebssystem ein, um an vielen Stellen \u00fcberwachen zu k\u00f6nnen. Das bleibt nicht ohne Folgen: In weniger schlimmen F\u00e4llen verursacht das nur<\/em> Leistungsprobleme beim Arbeiten.66<\/a><\/sup>67<\/a><\/sup> Es kann auch zu Konflikten mit anderen Programmen kommen, wie j\u00fcngst der unter Windows verbreitete Acrobat Reader zeigte: Adobe blockiert die Injektionen, mit der Antivirenscanner versuchen, andere Software zu \u00fcberwachen. Somit k\u00f6nnen diese keine PDF-Dateien analysieren, die mit dem Acrobat Reader ge\u00f6ffnet wurden – doppelt gef\u00e4hrlich f\u00fcr Nutzer, die sich arglos auf den Schutz ihrer Antivirensoftware verlassen.68<\/a><\/sup><\/p>\n

Symantecs Antivirus fiel schon mehrfach damit auf, verschiedene andere Programme zu besch\u00e4digen: 2019 war sogar die Update-Funktion des Betriebssystems betroffen. Unter MacOS startete im gleichen Jahr der Webbrowser Google Chrome nicht mehr und nach der Installation von Windows Updates klagten Nutzer \u00fcber Bluescreens. Gegen Ende 2019 brachte Symantecs Schutzl\u00f6sung die Browsertabs von Google Chrome auch unter Windows zum Absturz. Damit betroffene wieder im Web surfen konnten, half nur die Deaktivierung der Sandbox. Ironischerweise handelt es sich dabei um eine Sicherheitsfunktion von Google, die Seiteninhalte isolieren soll.69<\/a><\/sup> Durch das Sperren von Dateien konnte Chrome eine Zeit lang keine Lesezeichen speichern. Workaround: Mehrfaches Aufrufen der Funktion.70<\/a><\/sup> AVG hat es ebenfalls bereits geschafft, die vom Nutzer im Browser gespeicherten Passw\u00f6rter zu besch\u00e4digen.71<\/a><\/sup><\/p>\n

Es ist grunds\u00e4tzlich Problematisch, wenn Antivirenprogramme wild Dateien sperren, womit andere Software nicht gerechnet. Damit habe ich selbst schon schlechte Erfahrungen gemacht, vor allem auf Servern. Auch auf dem Desktop gibt es zahlreiche Beispiele von fehlerhaften Antivirenprogrammen, die zu verschiedenen Problemen gef\u00fchrt haben. Auff\u00e4llig oft erkennen sie Teile von Windows selbst als angebliche Sch\u00e4dlinge, wodurch ggf. die Windows-Installation zerst\u00f6rt wird.72<\/a><\/sup>73<\/a><\/sup>74<\/a><\/sup>75<\/a><\/sup>76<\/a><\/sup>77<\/a><\/sup> Ebenfalls nicht zu verachten ist das Blockieren von Windows Updates selbst. In zahlreichen F\u00e4llen konnten offizielle Microsoft Aktualisierungen nicht installiert werden. Immer wieder betrifft dies Sicherheitsupdates, etwa bei Meldown-Spectre. In diesem Falle sind die Computer ohne Antivirenscanner gegen die Schwachstellen gesch\u00fctzt, jene mit jedoch weiterhin angreifbar.78<\/a><\/sup>79<\/a><\/sup>80<\/a><\/sup><\/p>\n

Ein \u00e4hnlicher Konflikt ergibt sich bei Verschl\u00fcsselung: Verschiedene Schutzprogramme<\/em>, darunter u.a. Antivirenscanner, versuchen seit Jahren, gesch\u00fctzte Verbindungen wie z.B. HTTPS aufzubrechen. Sonst k\u00f6nnen sie nicht hinein schauen. Dadurch k\u00f6nnen sie aber nicht nur \u00fcberwachen und somit potenziell Daten abflie\u00dfen lassen.81<\/a><\/sup> Viel schlimmer: Sie schaffen Sicherheitsrisiken. 13 von 29 untersuchten Antivirenprogrammen klinkten sich in TSL-Verbindungen ein. Bei fast allen verschlechterte sich dadurch die Sicherheit, weil TLS beim Handshake aushandelt, welche Verfahren verwendet. Ein Antivirenscanner kann dies manipulieren und die Sicherheit durch alte, schwache Verfahren schw\u00e4chen. Beispielsweise das schon damals als unsicher geltende RC4. Aus Sicht der Forscher handeln die Hersteller dabei fahrl\u00e4ssig und fordern dazu auf, HTTPS-Verbindungen nicht mehr aufzubrechen.82<\/a><\/sup><\/p>\n

Ein damaliger Firefox-Entwickler beschwert sich, wie Antivirenhersteller st\u00e4ndig die gleichen Sicherheitsprobleme verursachen und dabei wirklich effektiven Schutzma\u00dfnahmen im Wege stehen. Letztendlich muss Mozilla daf\u00fcr viel Arbeitszeit aufwenden, obwohl diese Fehler nicht von ihnen, sondern durch Antivirensoftware entstanden. Daher riet er schon 2017 zur Deinstallation von AV-Software auf.83<\/a><\/sup><\/p>\n

Die Muster, welche Antivirenscanner zur Erkennung von Schadhaften Inhalten verwenden, k\u00f6nnen ebenfalls fehlerhaft sein. Das mussten 2021 Unternehmenskunden von Sophos XG schmerzlich erfahren: Mittags holte sich der AV neue Muster vom Hersteller, daraufhin funktionierte der Mailversand nicht mehr. Neustarts \u00e4nderten daran nichts. Erst in der darauffolgenden Nacht l\u00f6ste sich das Problem von alleine – mutma\u00dflich durch ein weiteres Update der Erkennungsmuster. Auch das ist nur ein Auszug, der zeigt: Konflikte schr\u00e4nken sowohl die Schutzwirkung weiter ein und verursachen zudem Probleme bei der normalen Nutzung des Systems.<\/p>\n

Die Folgen: Totalschaden trotz – oder gerade wegen – Antivirenprogrammen<\/h2>\n

Es ist daher kein Wunder, dass Systeme nicht nur trotz Antivirensoftware erfolgreich angegriffen werden – sondern \u00fcberhaupt erst dadurch: Das bekannteste Opfer d\u00fcrfte im Jahre 2020 der Konzern Mitsubishi sein. Sie setzten Antivirensoftware ein, die \u00fcber einen 0day Exploit angreifbar war – somit existierte kein Update, um diesen Mangel zu beseitigen. Die Angreifer erbeuteten pers\u00f6nliche Daten von tausenden Mitarbeitern sowie Gesch\u00e4ftsgeheimnisse.84<\/a><\/sup><\/p>\n

Ein gro\u00dfer d\u00e4nischer Cloudanbieter verlor j\u00fcngst s\u00e4mtliche Kundendaten, da er sich mit Ransomware infizieren lie\u00df. Auch hier war ausdr\u00fccklich Antivirensoftware vorhanden, konnte dem Totalschaden jedoch offensichtlich nichts entgegensetzen.85<\/a><\/sup> \u00c4hnlich sah es beim Kammergericht Berlin aus: McAfee Endpoint Protection<\/em> konnte der Emotet Ransomware nichts anhaben.86<\/a><\/sup> An der Hochschule Freiburg erkannte der Virenhersteller Emotet ebenfalls erst nach der Infektion. Hier wurde Schlimmeres nur durch Menschen verhindert, weil sich das angeblich per Mail angeh\u00e4ngte Dokument (die Schadsoftware) nicht \u00f6ffnete und man den PC darauf hin sehr schnell vom Netz genommen hatte.87<\/a><\/sup><\/p>\n

In kritischen Bereichen wird die Verwendung solcher vermeintlicher Schutzsoftware ohnehin noch gef\u00e4hrlicher. Der Gesundheitssektor ist ebenfalls betroffen: Beim Roten Kreuz Rheinland-Pfalz \u00fcbernahm Ransomware die gesamte IT, sodass diese heruntergefahren wurde – auch hier „trotz Firewall und aktualisierter Antivirensoftware“, die neuesten Antivirenpattern haben also ebenfalls nichts gebracht.88<\/a><\/sup><\/p>\n

Sogar Geldautomaten laufen mit Antivirensoftware. Bei einer Pr\u00fcfung fiel auf, dass der Virenscanner voller Sicherheitsl\u00fccken war und somit umgangen werden konnte. Der Angriff war Trivial: Man h\u00e4ngt gro\u00dfe Mengen Datenm\u00fcll an eine Schadsoftware an. Der Antivirenscanner berechnet eine Pr\u00fcfsumme, um abzugleichen, ob die Datei als sch\u00e4dlich bekannt ist. Es ist jedoch ein Timeout eingebaut. Ben\u00f6tigt die Berechnung l\u00e4nger als die maximal festgelegte Zeit, wird die Schadsoftware ohne Pr\u00fcfung einfach gestartet. Alternativ kann man die Pr\u00fcffunktion auch mit einer speziellen Anfrage an den Treiber abschalten.89<\/a><\/sup><\/p>\n

Beim Gewerbeverband St. Gallen wurde nicht nur alles lahm gelegt, sondern zudem Daten gestohlen. Absurde Sofortma\u00dfnahme: Die Sicherheitsstufe im Antivirenprogramm erh\u00f6hen. Es war also bereits vorher eines da, das nichts geholfen hat. Mit h\u00f6herer „Sicherheitsstufe“ (was auch immer das hei\u00dfen mag) soll das nun pl\u00f6tzlich besser werden?90<\/a><\/sup><\/p>\n

Die Uni Gie\u00dfen war Ende 2020 ebenfalls komplett offline. Auf der Info-Seite erkl\u00e4rte man, dass alle Windows-Laptops mit zwei Virenscannern gepr\u00fcft werden m\u00fcssen: Einmal mit der Aktuellen Virenschutzl\u00f6sung, das Zweite mit einem „spezialisierten Scan“ f\u00fcr den neuen Virentyp, mit dem man erfolgreich angegriffen worden sei. Hierf\u00fcr habe man einen eigenen Virenscanner entwickelt, beide werden auf tausenden USB-Sticks verteilt. Das spricht schon B\u00e4nde.91<\/a><\/sup><\/p>\n

Man k\u00f6nnte die Liste solcher Beispiele noch erweitern. Selbst der ehemalige Leiter der Sicherheitsabteilung bei Microsoft erkl\u00e4rte 2018 die tiefen Eingriffe in den Kernel durch Antivirensoftware als Sicherheitsrisiko. Jahrelang habe er vergeblich versucht, ihnen zu erkl\u00e4ren, dass ihre Hacks problematisch und \u00e4hnlich zu denen von Schadsoftware sind. Zu der Zeit waren \u00fcbrigens 70% der Bluescreens von schlampigen Treibern verursacht, die nicht unterst\u00fctzte Schnittstellen nutzen – allen voran die Hersteller von Antivirenprogrammen.92<\/a><\/sup><\/p>\n

\n

At one point, something like 70% of all Windows system crashes (\u201cblue screens\u201d) were caused by these third party drivers and their unwillingness to use supported APIs to implement their functionality. Antivirus vendors were notorious for using this approach.<\/p>\n

Ben Fathi<\/cite><\/p><\/blockquote>\n

Die Dunkelziffer ist viel h\u00f6her<\/h2>\n

In vielen F\u00e4llen erfahren wir die Ursache nicht: Unternehmen sind oft so schweigsam wie m\u00f6glich \u00fcber jegliche Sicherheitsvorf\u00e4lle und ver\u00f6ffentlichen wenig bis keine Details. Auch Mutsubishi hat sich erst einige Monate sp\u00e4ter dazu entschlossen. Bei Privatpersonen werden schlichtweg kaum Analysen durchgef\u00fchrt: Das Opfer ist froh, wenn die Schadsoftware weg ist und m\u00f6chte in aller Regel nicht viel Geld ausgeben, um den Grund zu erfahren. Das BSI Digitalbarometer 2022 spricht jedoch daf\u00fcr, dass Antivirensoftware auch hier zumindest wenig hilft: 39% waren in den vergangenen 12 Monaten von Internetverbrechen betroffen. 79% davon erlitten einen Schaden. Und das, obwohl mehr als die H\u00e4lfte angab, ein „Aktuelles Antivirenprogramm“ als Schutz zu verwenden.93<\/a><\/sup><\/p>\n

Nutzen-Risiko-Verh\u00e4ltnis von Antivirenprogrammen<\/h2>\n

Im Labor m\u00f6gen die Erkennungsraten inzwischen relativ hoch sein. Dennoch kommt es immer wieder zu erfolgreichen Angriffen, die nicht nur trotz Antivirenscanner m\u00f6glich waren. Sondern teilweise nur durch ihn. Sie lassen sich leicht austricksen und obwohl das seit weit \u00fcber 10 Jahren bekannt ist, passiert nichts. Schwere Sicherheitsm\u00e4ngel sind an der Tagesordnung, die teilweise mehrere Versuche<\/em> ben\u00f6tigen, um korrigiert zu werden. Das kann nicht der Anspruch an eine Schutzl\u00f6sung sein. Daher \u00fcberwiegen aus meiner Sicht die Risiken dem m\u00f6glichen Nutzen deutlich.<\/p>\n

Sicherheitsexperten sehen Antivirenprogramme ebenfalls kritisch.94<\/a><\/sup> Sogar Google selbst hinterfragt beim Analysieren einer Sicherheitsl\u00fccke in ESET, ob wir uns der Abw\u00e4gung zwischen „Risiko und Nutzen“ bewusst sind. Das ist eine gute Frage, die wir uns stellen sollten. Schlussendlich basiert jede (fundierte) Entscheidung darauf, m\u00f6glicherweise unbewusst. Jede Kopfschmerztablette beispielsweise besitzt Nebenwirkungen. Wer sie nimmt, hat den Nutzen gegen\u00fcber den m\u00f6glichen Nebenwirkungen h\u00f6her gewichtet. Eine Versicherung f\u00fcr das ~200 Euro Smartphone werden sich viele wohl eher sparen und sich im Falle eines gr\u00f6\u00dferen Defekts gleich ein neues Modell kaufen.<\/p>\n

Antivirenprogramme zeigen uns, wie man es nicht machen sollte<\/h2>\n

Ironischerweise sind Antivirenprogramme ein Mahnmal daf\u00fcr, wo die Gefahren lauern: In veralteter Software. Viele Angreifer nutzen Schwachstellen, die l\u00e4ngst behoben wurden. Statt mit Antivirenscannern die Angriffsfl\u00e4che noch weiter zu vergr\u00f6\u00dfern, sollten lieber Aktualisierungen f\u00fcr genutzte Software zeitnah eingespielt werden.<\/p>\n

Der zweite Feind hei\u00dft Komplexit\u00e4t, auch das demonstriert Comodo Antivirus: Sie schafft eine emulierte, virtuelle Umgebung, um Schadsoftware darin zu analysieren. Weil manche Viren das erkennen und sich dort unauff\u00e4llig verhalten, werden manche Systembefehle an das echte<\/em> Windows Betriebssystem geleitet, also ohne Isolation. Das macht alles noch umfangreicher und f\u00fchrt zu neuen Schwachstellen, in denen die Schadsoftware bei der Analyse ausbrechen kann. Auch hier muss der Nutzer nichts tun, da der Antivirenscanner den Viren hilft.95<\/a><\/sup>96<\/a><\/sup>97<\/a><\/sup><\/p>\n

Aber auch bei der klassischen Muster-Erkennung enthalten die Antivirenprogramme sehr viel versteckte Komplexit\u00e4t: Sie m\u00fcssen Bibliotheken enthalten, um alle m\u00f6glichen Dateien \u00f6ffnen zu k\u00f6nnen – Schon 2007 waren das „bis zu 3.000 Formate“98<\/a><\/sup>. Das f\u00fchrt zu folgendem Problem: Ein Dateiformat oder eine Bibliothek daf\u00fcr enth\u00e4lt eine Schwachstelle. Ohne Antivirenscanner sind nur Nutzer betroffen, die das Format bzw. die Bibliothek tats\u00e4chlich nutzen – etwa ein bestimmtes Office-Programm. Im Virenscanner sind jedoch extrem viele Parser eingebaut. Durch das Virenprogramm ist somit ein Nutzer selbst dann verwundbar, wenn er gar keine Software nutzt, die mit dem betroffenen Format etwas anfangen kann. In diesem Falle kann es ausreichen, eine verseuchte Datei abzuspeichern. Der Virenscanner versucht diese zu scannen und f\u00fchrt damit den Schadcode aus.<\/p>\n

Was konkret kann als Privatperson passieren?<\/h2>\n

Manch einer mag nun denken: Betroffen sind ja \u00fcberwiegend Unternehmen, Beh\u00f6rden, Vereine – als privater Benutzer ist man sicherlich kein so lukratives Ziel. Falls doch, nutzt man Werkzeuge wie c’t Desinfekt, Malware Bytes und Konsorten, um das System wieder zu bereinigen. F\u00fcr den schlimmsten Falle hat man die Daten auf externen Festplatten oder anderen Medien gesichert, die nicht permanent mit dem PC verbunden sind. Im Falle eines Totalschadens spielt man diese Sicherung wieder ein.<\/p>\n

Das greift jedoch viel zu kurz: Schadsoftware kann Code auf eurem PC ausf\u00fchren und hat damit die Kontrolle \u00fcber ein Ger\u00e4t mit euren pers\u00f6nlichen Daten und Internetzugang. Dies gilt nicht nur f\u00fcr lokale Dateien, sondern alles, worauf euer PC Zugriff hat: Cloud-Konten, Webshops, Fernzugang zum Arbeitgeber und so weiter – hier kann die Schadsoftware in eurem Name agieren, ihr verliert die komplette Kontrolle dar\u00fcber.<\/p>\n

Ein paar Beispiele, wie sich das missbr\u00e4uchlich einsetzen l\u00e4sst:<\/p>\n