Umfang. Die Nutzerdaten sind grundsätzlich immer ein denkbares Ziel wenn der Virus mit den entsprechenden Nutzerrechten ausgeführt wird.
Grenzen von Antivirus Programmen
Wie soll ein Antivirenprogramm das verhindern wenn du Schadsoftware selbst aktiv ausführst? Und natürlich sollte man grundsätzlich keine Dateien aus unbekannten Quellen ausführen, in der Praxis und auch im Arbeitsalltag aber oft leichter gesagt als getan, manchmal lässt es sich einfach nicht vermeiden, andere doppelklicken in einer Art Reflex auf alles, was ihnen vor den Mauszeiger kommt. Viele Viren kommen nicht mehr als EXE sonderen als JS, Office-Macro usw Das ist aber ein anderes Problem. Antivirenprogramme würden in dem Fall ja auch nicht helfen. Im Gegenteil.
Windows, Viren und andere Schadsoftware
Windows warnt dich ausdrücklich vor dem Ausführen jeder Datei, und führt sowieso alles mit niedrigen Privilegien aus. Auch wenn du Administrator bist. Du musst 3 Mal bestätigen bevor eine Software, die du ausführst, volle Rechte bekommt. Die erste Ebene ist "Achtung, du führst hier Schrott aus unbekannter Quelle aus". Die zweite Ebene ist "Achtung, du gibst Admin Rechte an diese Software" und die dritte Ebene ist "Du willst Systemdateien modifizieren, BIST DU WIRKLICH ABSOLUT SICHER?" und dann gibt es noch eine vierte Ebene. Viele Dateien unter Windows sind so geschützt das nicht mal volle Adminrechte ausreichen, sondern du musst den Besitz der Dateien manuell übernehmen was auch wieder nur über einen speziellen privilegierten Dialog geht, keine Software kann das automatisch für dich machen, auch wenn sie deinen Rechtestatus hat. Microsoft hat es hier schon fast etwas übertrieben und die Rechte des normalen Nutzers sind stark beschnitten, und selbst als Admin hat man noch Hürden die man umgehen muss.
Manche behaupten, dass Antivirenprogramme die Angriffsfläche vergrößern können, weil sie selbst vielfach Einfallstor und Ziel von Schadsoftware ist. Sie vergrößern die Angriffsfläche, weil sie eine zusätzliche Hürde sind, die erst mal gezielt ausgeschaltet werden muss? Ich würd eher sagen Virenscanner erschweren einerseits einen Angriff (und blocken Scriptkiddies ab), aber sind natürlich kein 110%iger Schutz.
Antivirenprogramme, Kanonen, und Spatzen
Antivirenprogramme versuchen jede einzelne Datei und jedes Stück Code das auf dem Rechner landet zu scannen. Diese Scanroutinen sind oft schlampig programmiert und bieten Angriffsfläche. Das ist besonders schlimm weil ein Nutzer der eine PDF ohne Admin Rechte öffnet erstmal keinen riesigen Schaden anrichtet. Aber ein Antivirenprogramm läuft oft mit den höchsten Privilegien da es ja jede Menge Mechanismen des Betriebsystems aushebel muss, um sich überall dazwischen zu drängeln. Das heißt. jede Sicherheitslücke im Antivirenprogram resultiert fast immer in Adminrechten. Schon früher hatten die meisten Toolkits für Trojaner eingebaute Routinen um gängige Antivirenprogramme einfach abzuschießen oder gar zu übernehmen, und sie so umzukonfigurieren das nur andere Viren entfernt werden, aber nicht der eigene Trojaner.
Antivirenhersteller haben nicht die Kompetenz und Ressourcen um Scanroutinen für Tausende von Dateiformaten und Programmiersprachen zu bauen die alle 100% bugfrei sind. Im Gegenteil, die schlechte Qualität dieser Systeme ist berühmt berüchtigt in der Branche.
Antivirusprogramme hebeln unter Umständen essentielle und funktionierende Sicherheitsmechanismen des Betriebssystems aus und brechen HTTPS auf. Solche bösen Virenscanner dann halt nicht zu benutzen ist leider auch keine Option. Das sind keine "bösen" Scanner. Das ist das fundamentale Funktionsprinzip von allen Scannern! Microsoft hat öfters Vorträge mit Schaum vor dem Mund weil Microsoft mittlerweile APIs zur Verfügung stellt mit denen Antivirenprogramme mit dem Betriebssystem reden können. Antivirenhersteller nutzen diese APIs nicht, sondern implementieren weiterhin ihre antiquierten und unsicheren Hacks die sämtliche Sicherheitsmechanismen die Microsoft einbaut wieder aushebeln. Alleine deswegen sollte man Microsoft Security Essentials einsetzen: Microsoft selbst nutzt konsequent die eigenen definierten APIs in Windows und zerschießt damit nicht das komplette Rechte- und Privilegiensystem.
Kommentar veröffentlichen