Im ersten Teil des Artikels haben wir uns mit der Frage beschäftigt, wie das erste halbe Jahr aus Sicht der Security-Hersteller und -Anbieter verlaufen ist und mit welchen Trends sie für die zweite Jahreshälfte rechnen. Im zweiten Teil ging es um die Einschätzung dieser Punkte aus Sicht der Distributoren, IT-Dienstleister und Systemhäuser. Der dritte Teil geht auf die in diesem Jahr aufgekommene Kritik an Antivirenlösungen ein und zeigt, ob sie nach Ansicht der befragten Branchenexperten gerechtfertigt ist oder nicht.
Antivirenlösungen: Wirklich mehr Schaden als Nutzen?
Anfang des Jahres hatte ein ehemaliger Mozilla-Entwickler massive Kritik an Antiviren-Software in seinem privaten Blog geäußert. Normalerweise interessiert ein solcher Blog-Post nur wenige Menschen, aber diesmal wurde der Beitrag relativ schnell in sozialen Netzen und Medien verbreitet, so dass er international für viel Wirbel sorgte.
Robert O’Callahan warf den Security-Anbietern in seinem Blog-Post vor, ihre Produkte würden bestenfalls eine geringe Verbesserung der Sicherheit eines Systems bewirken. Durch die in ihnen vorhandenen Bugs würde es sogar immer wieder zu neuen und nicht selten schwereren Sicherheitslücken kommen, schreibt O’Callahan. Als Beleg für seine These führte er Project Zero von Google an. Unter diesem Code-Namen veröffentlichen Mitarbeiter des Suchmaschinenriesen immer wieder teils gravierende Sicherheitslücken, von denen mehrfach auch AV-Lösungen betroffen waren.
Klassische Virenscanner in der Kritik
Candid Wüest von Symantec hält O’Callahans Kritik jedoch nicht für gerechtfertigt. "Für einen normalen Computernutzer übersteigen der Nutzen und die gewonnene Sicherheit die Risiken bei weitem", so Wüest. Er vergleicht AV-Lösungen mit Airbags im Auto: "Manchmal gehen sie nicht auf und in seltensten Fällen sorgen sie sogar für eine Verletzung. In der großen Mehrheit der Fälle erfüllen sie ihre Pflicht jedoch und helfen, Schlimmeres zu verhindern und Schaden vom Anwender abzuwenden." Auch Patrick Andreas von Tarox hält die Kritik für zu hart: "Im schlimmsten Fall kann sie bewirken, dass Anwender zukünftig davon absehen, Antivirenlösungen zu installieren." Gleichwohl hält er herkömmliche Lösungen zum Schutz vor modernen Bedrohungen wie WannaCry für "gänzlich überholt".
Dem stimmt auch Thomas Gross von Clavister zu. Er ist der Meinung, dass "klassische Antivirenlösungen in ihrer Funktionsweise nicht in der Lage sind, Zero-Day-Attacken zu erkennen". Laut seiner Aussage konnten nur 30 Prozent der Lösungen WannaCry erkennen. Gross: "Das bedeutet, dass 70 Prozent der Anbieter keinen Schutz boten." Thomas Uhlemann von Eset weist jedoch darauf hin, dass "Meldungen über mögliche Lücken in Schutz-Software oft nicht im Verhältnis zum tatsächlichen Mehrwert der Lösungen als solche stehen". Uhlemanns Kommentar: "Aber sicher ist es für Nutzer eine gute Idee, sich anzuschauen, welche Hersteller welche Lücken mit welchen Auswirkungen hatten und in welcher Zeitspanne sie darauf reagiert haben."
Verzicht auf eine Antiviren-Software ist keine Lösung
Diesem Punkt stimmt auch Martin Twickler von Exclusive Networks zu: Seiner Ansicht nach hängt das Risiko stark von der eingesetzten Lösung ab. Fakt sei aber: "Keine Antiviren-Lösung ist auch keine Lösung". Jede Software, die in einem System laufe, berge die Gefahr von Sicherheitslücken. Richard Werner von Trend Micro sieht es dagegen vergleichsweise nüchtern: Jeder Software-Hersteller versuche, Sicherheitslücken in seiner Code-Basis zu verhindern. "Gelungen ist es bislang noch keinem", so sein Fazit. Eine konstruktive Kritik sei außerdem in diesem Bereich schwierig, weil sie vielfach von Emotionen überlagert werde.
Auf klassische Antivirenlösungen kommt noch einmal Christian Reuss von Arbor Networks zurück. Er hält sie für ein "Auslaufmodell". Die Bedrohungslandschaft bewege sich zu schnell, als dass sie noch wirksam sein könnten. Anwendern empfiehlt er deswegen ein "breites Verständnis Ihres Netzwerks, Ihres Datenverkehrs und der Aktivitäten in Ihrem System" zu erlangen. Einer ähnlichen Ansicht ist Mathias Widler, Regional Director Eastern & Central Europe bei Zscaler. Seiner Erfahrung nach wird moderne Malware nur noch zu einem geringen Anteil von AV-Software erkannt. "Zu zielgerichtet wird Schadcode auf Einzelpersonen ausgerichtet und zu schnell modifiziert, als dass die Anbieter mit Patches aufwarten können", erläutert Widler. Er empfiehlt deswegen einen Layered Approach mit Lösungen unterschiedlicher Anbieter am Gateway und auf dem Client sowie Cloud-Lösungen, die den Unternehmen Administrationsaufwand abnehmen können.
Baustein in einer größeren Sicherheitsarchitektur
Susanne Endress von ECS antwortet auf die Frage nach der Kritik an Antivirenlösungen mit einem deutlichen "Jein!". Es sei zwar richtig, dass schlampig programmierte und nicht sauber in ein System integrierte Sicherheits-Software tatsächlich neue Lücken aufreißen könne. Andererseits hält sie AV-Lösungen aber für "weiterhin wichtig" - allerdings nur als "ein Baustein in einer Sicherheitsarchitektur".
Auch Tim Berghoff von betont, dass "eine Virenschutzlösung in einer IT-Security-Architektur noch immer eine der wichtigsten und effektivsten Komponenten zur Abwehr von Schadprogrammen ist". Kriminelle hätten ansonsten "ein leichtes Spiel". Für sich allein genommen, könne sie aber nicht alle Online-Gefahren abwehren. Axians-Mann Olaf Niemeitz weist darauf hin, dass "Antiviren-Scanner selbst Ziel einer Attacke werden können und nicht allumfassend sind". Für die Perimeter-Sicherheit empfiehlt er deswegen "andere wirkungsvolle Mittel wie eine Sandbox". Aber Niemeitz bricht trotzdem eine Lanze für die AV-Industrie: "Bei bestimmten Szenarien greift jedoch nur der AV-Scanner, beispielsweise wenn ein fremder USB-Stick in den Laptop soll."
Wirklich nur "Schlangenöl"?
Carsten Dibbern von erwähnt das immer wieder verwendete Wort "Schlangenöl". Darunter versteht man ein Produkt, das nicht das hält, was es verspricht. Diese Kritik gebe es schon lange, so Dibbern. Seiner Ansicht reagieren die meisten Hersteller auf Sicherheitslücken jedoch sehr professionell. "Wichtig ist ein reflektierter Blick auf die Möglichkeiten einer Antivirenlösung - aber auch auf ihre Grenzen." Ohne den Einsatz moderner Sicherheitslösungen verbleiben seiner Ansicht nach "zu hohe Restrisiken".
Jürgen Jakob von erinnert an immer noch aktive "alte" Gefahren und sagt, dass "wir nicht vergessen dürfen: Die alten Trojaner, Rootkits und Keylogger gibt es immer noch". Viele der "vermeintlichen Mängel" in AV-Lösungen seien zudem nur mit Mühe und sehr gezielt einsetzbar und daher "für eine breite Nutzung à la WannaCry nicht geeignet". Michael Schwyer von Konicy Minolta IT Solutions nennt ebenfalls das "Grundrauschen an gängigen Bedrohungen" als Grund dafür, dass "niemand ohne aktuellen Virenschutz in der digitalen Welt unterwegs sein sollte".
Neue Security-Ansätze führen zu einer AV 2.0
Die Problematik liegt laut Dariush Ansari von Network Box aber auch darin, "dass der Nutzer sich meist zu einhundert Prozent darauf verlässt, dass sein Produkt ihn schützen wird". Malte Pollmann von Ultimaco IS nennt dies eine "trügerische Sicherheit", auf die Anwender und Unternehmen sich nicht allein verlassen sollten. Antiviren-Software ist nach Meinung von Ansari nicht das Allheilmittel und stattdessen nur "ein technischer Baustein eines professionellen Sicherheitskonzeptes". Tech-Data-Mann Ralf Stadler sieht immerhin "ganz neue Ansätze in der Endpoint-Sicherheit, die sich bei diversen Herstellern zu einer Next-Gen-Technologie entwickelt haben". Er nennt dies eine "AV 2.0". Diese Lösungen bieten seiner Aussage nach "weitreichende und umfängliche Schutzmöglichkeiten" und und eignen sich als mehrstufige Sicherheitsmaßnahmen am Client, Server und auf mobilen Endgeräten.
Lesen Sie auch Teil 1 und Teil 2 der ChannelPartner-Serie Secutity Trends 2017