„Anti-Viren-Firmen sagen, man dürfe ihre Software keiner kritischen Überprüfung unterziehen“, referiert Tavis Ormandy. „Wenn Sicherheitslücken entdeckt würde, schade das dem Anwender.“ Er ist anderer Ansicht, hat gesucht und gefunden.

Schlampiger Umgang mit Schadsoftware

Im vergangenen Jahr entdeckte er, dass Symantec verdächtige komprimierte Dateien einfach so auspackt und nicht – wie es sich gehört – in einem abgesicherten Bereich des User-PCs, einer sogenannten Sandbox. Und die US-Firma Comodo verhinderte nicht, dass bösartige Java-Scripts ausgeführt werden.

Fehlerhafte Verschlüsselung

Viele Schutz-Software-Häuser brechen die Web-Verschlüsselung auf, die etwa greift, wenn man die Site seiner Bank ansurft. Sie schauen sich den Datenstrom an und verschlüsseln ihn anschließend wieder. Eine klassische Hacker-Methode, die ansonsten von Cyberkriminellen und Geheimdiensten angewendet wird. Man-in-the-Middle nennt sich dieser Trick.

Die NSA kann mitlesen

Es ist durchaus in Ordnung, dass auch Anti-Viren-Software zu diesem Kniff greift. Schließlich kann sich ja digitales Ungeziefer in den Datenstrom eingeschlichen haben. Das Problem ist nur: Nach der Viren-Suche haben viele Programme – zumindest in der Vergangenheit - nicht mehr ordentlich verschlüsselt. Versierte Hacker, wie sie etwa für die NSA und für cyberkriminelle Organisationen arbeiten, hätten den Datenstrom abfangen und reinschauen können.

Rücksichtvolle Hacker

Ob sie es tatsächlich haben, ist nicht bekannt, ebenso wenig, ob sie die vielen anderen Sicherheitsprobleme von Anti-Viren-Programmen ausgenutzt haben, die Ormandy und andere „weiße“ Hacker entdeckt haben. Diese Hacker haben die Anti-Viren-Firmen informiert und erst, nachdem die Lücken gestopft waren, auf Sicherheitskonferenzen darüber berichtet.

Cyberkriminelle kennen Sicherheitslücken

Kriminelle Hacker gehen nicht so rücksichtvoll vor. Und es ist wahrscheinlich, dass auch sie fündig geworden sind und Sicherheitslöcher entdeckt haben, die noch immer offen sind. Denn Anti-Viren-Software-Häuser vernachlässigen systematisch eine Programmiertechnik, die Sicherheitsprobleme verhindert: die sogenannte Speicherverwürfelung. Das haben Untersuchungen des Magdeburger Unternehmens AV-Test ergeben.

Vernachlässigte Sicherheitstechniken

„Wir haben festgestellt, dass ein Drittel bis die Hälfte der Produkte diese Technik gut einsetzt, was aber auch heißt, dass die andere Hälfte diese Technik gar nicht oder nur unzureichend einsetzt“, fasst Maik Morgenstern, der Cheftechniker des Unternehmens die Testergebnisse zusammen.

Digitales Ungeziefer verirrt sich

Speicherverwürfelung – im Fachjargon: ASLR, Address Space Layout Randomization – bewirkt, dass Programmmodule immer an eine andere Stelle im Arbeitsspeicher eines Rechners geladen werden. Digitales Ungeziefer verwirrt das total. Es kennt sich nicht mehr aus, verirrt sich und kann so keinen Schaden anrichten.

Klicken für die Security

Microsoft’s Betriebssysteme bieten seit Vista die Möglichkeit dazu. Als nach der Jahrtausendwende Viren und Würmer massenhaft Windows-Rechner befielen, stoppte der Konzern seine Software-Entwicklung und stellte sie auf sichere Programmierung um. Anwendungsprogrammierer müssen seitdem nur auf einen Button klicken, um die Speicherverwürfelung für ihre Programme einzuschalten. Allein: Nur wenige klicken.

Ungeziefer im Datenstrom

Eine andere Sicherheitstechnik, die Windows anbietet, heißt DEP, Data Execution Prevention. Cyberkriminelle schmuggeln Schadprogramme gerne versteckt in reinen Daten in fremde Rechner. Die Data Execution Prevention verhindert deshalb, dass aus Arbeitsspeicherbereichen, in denen bloße Daten stehen, irgendwelcher Code ausgeführt wird. Auch diese Möglichkeit wird – laut AV-Test - von Anti-Viren-Firmen zu wenig genutzt.

Anti-Viren-Loch als GAU

Auch andere Software-Häuser vernachlässigen die IT-Sicherheit. Anti-Viren-Software aber greift tief ins System ein. Deshalb hat es gravierende Folgen, wenn dabei eine Sicherheitslücke aufgerissen wird. „Ein typisches Problem ist, dass die meisten, wenn nicht alle Anti-Viren-Programme mit den höchst möglichen Rechten laufen“, sagt Joxean Koret, ein anderer Star der Security-Szene. „Wenn man also einen Exploit für ein Anti-Viren-Programm schreibt, bekommt man mit höchster Wahrscheinlichkeit Zugriff aufs ganze System.“

Administratoren zweifeln

Einige Administratoren in Unternehmen zweifeln mittlerweile derart am Nutzen von Anti-Viren-Programmen, dass sie auf ihren Einsatz verzichten. Für Privatanwender empfiehlt sich das allerdings nicht. Jedoch sollte man sich nicht blind auf seinen Viren-Scanner verlassen. Unabhängige Labors wie AV-Test überprüfen regelmäßig die markgängigen Programme, ob sie Viren zuverlässig erkennen, eventuell zu viele Fehlalarme ausgeben und ob sie sicher geschrieben sind.

Selbst ist der User

Viren-Scanner sind bloß eine Art letzter Sicherheitszaun. Eine Firewall und regelmäßige Updates verhindern, dass digitales Ungeziefer überhaupt auf den Rechner gelangen. Back-ups schützen zudem vor Ransomware, Erpresser-Software. Generell gilt in der IT-Sicherheit: Es gibt nur einen, auf den der User sich 100prozentig verlassen sollte. Und das ist er selbst.