Stefan Tittel, Stefan Tittel (649 Beiträge seit 14.01.01)
Natürlich wäre es erfreulich und ratsam, wenn die Antiviren-Software
die Updates etwas häufiger nachladen würde, nur: Die Konsequenzen
eines veralteten Virenscanners sind bei Weitem nicht so dramatisch,
wie es der Artikel darzustellen versucht.
Ein Virenscanner ist nämlich kein geeignetes Diagnoe-Instrument, um
zu entscheiden, ob man $Datei jetzt ausführen sollte oder nicht. Das
liegt schlicht daran, dass man in dem Falle, dass der Virenscanner
nicht Alarm schlägt, nur eins weiß: Die Datei beinhaltet keinen
Schadcode, den der Virenscanner erkennen kann. Sie kann aber auch im
Falle eines gerade frisch aktualisierten Virenscanners Schadecode
enthalten, den der Virenscanner eben nicht erkennt.
Und automatisiertes Finden von Schadcode ohne vorgefertigte
Signaturen KANN gar nicht zuverlässig funktionieren:
Satz von Rice
Entsprechende "dynamische Schutzfunktionen" sind immer irgendwelche
Heuristiken ohne jede Gütegarantie.
Die spannende Frage beim Ausführen von $Datei ist daher nicht "Was
sagt der Virenscanner?", sondern "Wie vertrauenswürdig ist die Quelle
der Datei?". Hier liegt die Kunst in der Selbstbeschränkung:
- Photoshop vom Originaldatenträger? Kein Problem!
- $Computerspiel mit $Kopierschutztreiber -> am besten seperate
Windows-Installation auf Wechselplatte.
- Firefox von mozilla.com? Kein Problem!
- SAP NetWeaver Business Client aus Quelle "SAP"? Kein Problem!
- Irgendeine Software, über die man wenig weiß, über deren Hersteller
man wenig weiß, über deren Downloadquelle man wenig weiß und die auch
nur irgendwo im leisesten Zweifel steht? NICHT installieren oder
bestenfalls in einer VM installieren. Das gilt erst recht, wenn man
diese Software NICHT unbedingt braucht.
Im Unternehmensumfeld sollten normale Nutzer eh keine Rechte haben,
Sofware zu installieren bzw. entsprechende arbeitsrechtliche
Konsequenzen tragen, wenn sie es trotzdem versuchen. Im Privatumfeld
ist die Nichtbeachtung des letzten Punktes eines der
Haupteinfallstore für Schadsoftware und zwar ein Einfallstor, was
auch ein Virenscanner nicht zuverlässig verhindern kann.
Man mag ja gelegentlich mal einen aktuellen Virenscanner von Live-CD
booten als zusätzliche Vorsichtsmaßnahme, aber man sollte sich eben
nie auf seine Ergebnisse verlassen und von der Ausführung einer
zweifelhaften Datei auch dann absehen, wenn der aktuelle Virenscanner
nicht anschlägt.
Ein sicher konfiguriertes System (least privilege principle, zügiges
Einspielen aller Sicherheitsupdates, Verzicht auf Software mit
schlechtem security track record etc.) in Verbindung mit
erz-konservativem Nutzerverhalten sind der beste Schutz vor Viren,
auch ganz ohne Virenscanner.
Grüße,
Stefan