Schutz durch Antivirenprogramme – Ein erschreckender Bericht!

Anfang des Jahres wurde eine Artikel veröffentlicht zu dem Thema Antivirensoftware. Dort wird deutlich, dass diese im Jahr 2020 nicht nur auf positive Art auf den Systemen der Nutzer gewirkt hat und der Schutz durch Antivirenprogramme möglicherweise ein falsches Bild an den Nutzer abgibt.

Der Schutz durch Antivirenprogramm wird selbst zum Angriffspunkt

Jedes Antivirenprogramm muss eine Funktion zur Analyse von Software haben. Es wird vorab oder während der Ausführung eines Programms analysiert, ob es sich um Schadsoftware oder um eine gutartige Software handelt. Hierbei gibt es verschiedenste Methoden. Die gängigste ist hierbei der Abgleich mit einer Datenbank. Über die ausgeführte unbekannte Software wird ein Fingerabdruck erstellt und diese mit der Datenbank abgeglichen.

Ist dieser Fingerabdruck als Schadhaft bekannt, so wird die Software an der Ausführung auf dem System gehindert und je nach Antivirenprogramm „in die Quarantäne verschoben“. Diese Methode ist allerdings lückenhaft, da immer mehr verschiedene Varianten einer Schadsoftware auftreten und es so schwierig ist jede Version anhand eines Fingerabdrucks zu erkennen.

Eine andere Möglichkeit zur Analyse ist eine Verhaltensüberwachung. Die Software wird zunächst in einem sicheren Bereich, einem „Sandkasten“ (engl. Sandbox) ausgeführt, wo auch ein potenziell schädliches Programm am Hauptsystem keinen Schaden anrichten sollte.

Schlecht ist natürlich, wenn eine vermeintlich sichere Umgebung erst gar nicht verwendet wird, wie es bei der Analyseumgebung der Antivirensoftware Avast der Fall war. Schädlicher Code konnte so durch die Antivirensoftware hindurch das System infizieren kann.




Datenkrake Antivirenprogramm

Ein weiterer Aspekt welche durch die Redaktion von Golem angesprochen wurde, ist der Browser-Schutz eines Antivirenprogramms. Oft bietet Sicherheitssoftware die Möglichkeit an, ein Zusatzmodul im Internet-Browser wie Chrome oder Firefox hinzuzufügen, um so gegebenenfalls direkt eingreifen zu können, sollte es zu einem Angriff aus dem Browser kommen.

Um diese Analyse durchführen zu können, müssen besuchte Seiten und verwendete Dienste an das Antivirenprogramm weitergeleitet werden.  Daher ist es möglich diese Daten zu sammeln und weiterzuverwenden. So hat ebenfalls der Hersteller Avast diese Daten gespeichert und an eine Tochterfirma verkauft, welche die Daten ebenfalls erneut weiterverkauft hat. Dies kam dementsprechend schlecht bei den Nutzern der Software an.

Update trickst Schutz durch Antivirenprogramme aus

Update Visualisierungselement
Updates sind ein wichtiges Werkzeug der IT-Sicherheit. Doch auch eine aktuelle Antivirensoftware liefert keinen 100%-Schutz.

Viele Programme wie Internet-Browser, Media Player, ganze Betriebssysteme oder auch Sicherheitsprogramme selbst müssen auf dem aktuellen Stand gehalten werden. Dies beinhaltet Updates für Funktionen, Problembehebungen, Aktualisierungen von Virensignaturdatenbanken oder kann ganz neue Funktionen hinzufügen.

Updates werden von diesen verschiedenen Programmen meist täglich gesucht und installiert. Beispielhaft installiert die Sicherheitssoftware GData stündlich Virensignaturupdates. Weiter unterscheidet diese als Beispiel jedoch zwischen einfachen und kompletten Softwareupdates. Wenn ein Updatevorgang von einem Fremden auf der Serverseite kompromittiert wird, ist es für diesen möglich innerhalb kurzer Zeit eine große Menge an befallenen Systemen zu erreichen.

Dies geschah im Jahr 2020 bei einem großen Hersteller für IT-Überwachungs- und Verwaltungssysteme, der Firma „Solarwinds“, zu dessen Kunden nicht nur Regierungseinrichtungen zählen, sondern auch namhafte Firmen wie Microsoft. Ein Angreifer hatte es geschafft in den Updatevorgang einen Trojaner einzuschleusen, welcher es anschließend möglich machte auf tausenden Netzwerken der verschiedenen Kunden von „Solwarwinds“ zuzugreifen. Da der Trojaner als Update einer bekannten Software mitgeschleust wurde, konnte er sogar Antivirenhersteller wie Microsoft selbst befallen. Erst nachdem Microsoft selbst den Angriff analysiert hatte, konnte die Sicherheitssoftware Microsoft Defender den Trojaner erkennen. Dieser Fall zeigt erneut, dass Antivirensoftware gegebenenfalls ein falsches Bild der Sicherheit ausstrahlt.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast