Antivirensoftware: Die Schlangenöl-Branche

Wie schütze ich meinen Computer am besten? Wie unterschiedlich die Einschätzung von Experten und Computernutzern - Fachleuten sowie Durchschnittsnutzern - ist, zeigt nicht zuletzt eine Studie von Google. Die befragten Nutzer hielten Antivirenprogramme für die wichtigste Maßnahme, um sich vor Gefahren zu schützen. Das halten jedoch nur sieben Prozent der Experten für besonders wichtig. Umgekehrt ergibt sich ein ähnlich kontroverses Bild. Auf Platz eins bei den Experten: regelmäßige Updates. Die schafften es bei den Nutzern nicht einmal in die Top fünf.

Diese Ergebnisse überraschen kaum einen, der sich in der IT-Security-Szene umhört. Viele Sicherheitsforscher haben keine sehr hohe Meinung von der Antivirenbranche. Als "Schlangenöl" werden solche Programme oft bezeichnet, vergleichbar mit Heilsversprechen von Wundermitteln, die keinerlei nachweisbaren Effekt haben.

Antivirensoftware und andere Sicherheitssoftware sind selbst oft voller Sicherheitslücken. Tavis Ormandy, der für Googles Project Zero arbeitet, hat in jüngerer Zeit eine ganze Reihe von extrem gravierenden Sicherheitslücken in nahezu allen bekannten Antivirenprogrammen entdeckt. Bemerkenswert ist dabei nicht, dass auch Antivirenprogramme Sicherheitslücken haben, sondern, dass es sich oft um besonders peinliche und absolut vermeidbare Lücken handelt. In Sachen Verteidigung stehen die Antivirenprogramme wiederum oft sehr schlecht da: Kein einziges der Programme nutzt eine Sandbox, Exploit-Mitigation-Mechanismen wie Speicherrandomisierung (ASLR) oder Stack Cookies werden oft abgeschaltet.

Chrome-Entwickler sieht Antiviren als Problem für sichere Browser

Der Chrome-Entwickler Justin Schuh hat kürzlich in einer hitzigen Twitter-Diskussion Antivirensoftware als größtes Hindernis bei der Entwicklung sicherer Browser bezeichnet und seine Kritik später in einem Blogeintrag ausgeführt. Auf Twitter stimmte die Mozilla-Sicherheitsexpertin King zu und schrieb, dass Antivirensoftware oft Sicherheitsprobleme in Firefox verursache.

Was Browserentwickler verärgert: Um neue Dateien möglichst früh scannen zu können, versuchen Antivirenprogramme oft, direkt in den Browserprozess einzugreifen. Das ist fehleranfällig und kann zu schwer zu analysierenden Bugs führen. Es führt außerdem dazu, dass Sicherheitslücken in Antivirensoftware plötzlich Browser unsicher machen können.

Nicht selten gibt es zudem Konflikte zwischen der Arbeitsweise von Antivirenprogrammen und anderen Sicherheitsmechanismen. Besonders deutlich ist das bei der weit verbreiteten Praxis, im Browser ein zusätzliches Root-Zertifikat zu installieren und damit verschlüsselte TLS-Verbindungen mittels Man-in-the-Middle-Angriffen aufzubrechen. Das führt nahezu immer dazu, dass die Sicherheit der TLS-Implementierung beeinträchtigt wird. Oft hebelt es bei schlechten Implementierungen den gesamten Schutz von TLS aus.

Vor allem Antivirenlösungen, die auf Netzwerkebene arbeiten, nutzen Man-in-the-Middle-Proxys, um TLS-Verbindungen mitzulesen. Teilweise nutzt aber auch auf dem Client installierte Software ähnliche Mechanismen. Über Sicherheitslücken in der TLS-Interception von Kaspersky und anderen Antivirenprogrammen hat Golem.de vor einiger Zeit berichtet.

Um zu verstehen, warum Sicherheitsexperten so wenig von Antivirensoftware halten, hilft es, sich anzuschauen, wie diese eigentlich funktioniert.