Schon in Zeiten, als ich noch mit merkwürdiger Software gearbeitet habe, war ich immer verwundert darüber, was dieses Rumgedoktor mit dieser komischen Anti-Virus-Software soll. Inzwischen gibt es weitere Erkenntnisse dazu . Ich empfand es als eine Art Erleuchtungserlebnis, als ich die unixoide Philosophie ("erst alles verbieten und dann gezielt die Restriktionen lockern") im Gegensatz zum grundlegend zum Scheitern vorherbestimmten winzigweichen Ansatz ("erst mal alles erlauben und dann Sicherheitssoftware anflanschen") kennen und lieben gelernt habe. Vergegenwärtigt euch bitte bei diesem Ansatz, dass ihr euch eine Software auf den Rechner holt, die logischerweise Vollzugriff benötigt um den digitalen Unrat beseitigen zu können. Nun stellt sich heraus, dass eben diese Scanner-Software nicht gerade selten von massiven Sicherheitsschwankungen betroffen ist, was entsprechend der proprietären Philosophie zumeist geheim gehalten wird (Zur Thematik "Responsible Disclosure und Full Disclosure" empfehle ich diese Folge des Chaosradio ) und in Anbetracht der Rechte, die diese Software hat entsprechend schwerwiegend ist. Zumal Virenscanner die mit am häufigsten angegriffene Software sind. Aus diesem Grund kann ich euch nur dringend empfehlen: schmeißt diesen Mist von der Platte, dichtet euer System grundlegend ab und prüft auf Schadecode entweder über einen zwischengeschalteten Rechner (Wenn dessen Virenscanner oder Firewall kompromitiert wird, besteht wenigstens nicht automatisch Zugriff auf euren Produktivrechner!) oder per Virenscanner-LiveCD (Wovon es zahlreiche zumeist linux-basierte im Netz gibt und die - wenn sie ebenfalls Sicherheitslücken haben - im Live-Betrieb wenigstens nicht euer Produktivsystem gefährden, aber trotzdem ihre Arbeit erledigen!). Ich habe mich mit diesem Thema schon 2011 beschäftigt und dies damals in freiesMagazin publiziert. Durch die aktuellen Erkenntnisse fühle ich mich in meinem damaligen Verdacht bestätigt.

Hallo Dr. Tux,

ungewohnt wortreich

Eine Ausnahme scheint es wohl zu geben. Das heuseigenen Fensterchen-desinkektionsmittel scheint nicht ganz so kaputt zu sein.
Ich weiß nicht, ob man einem Otto-normal User zutrauen kann, all das umzusetzten, was du als Alternative vorschlägst.

schmeißt diesen Mist von der Platte, dichtet euer System grundlegend ab und prüft auf Schadecode entweder über einen zwischengeschalteten Rechner (Wenn dessen Virenscanner oder Firewall kompromitiert wird, besteht wenigstens nicht automatisch Zugriff auf euren Produktivrechner!) oder per Virenscanner-LiveCD

Das ist für mich jetzt nicht so ganz konsstent. Auf der einen Seite sagst du keine Virenscanner, auf der anderen schlägst du vor Virenscanner-LiveCDs zu verwenden (die eh ständig veraltet sind und die Probleme sowieso nicht finden kann)
Der Begriff Firewall mag dem einen oder anderen User vielleicht bekannt sein, aber was das bedeutet und wie man das richtig aufsetzt... da denke ich ist man schnell überfordert. Auch hilft das nicht, wenn der Schädlich über den Webbrowser (wie so oft) auf den Rechner kommt.

Am ehesten dann noch das Live-system fürs Internet, aber selbst das ist jenseits von irgendeinem Komfort, wenn es darum geht irgendwie einen Datenaustausch mit dem "Produktivsystem", wie du es nennst, zu gewährleisten.
Vielmehr spielt sich eigentlich immer mehr im Internet ab und das nicht verbundene Prokuktivsystem verkümmert in der Ecke.
Führt dann dazu das man doch alles mit seinem Internetrechner macht.

Naja, ist ein weites Feld und letztlich muss es jeder selber wissen. Aber was die "Sicherheits"firmen sich da für Bugs leisten ist warlich kein Grund denen irgendwie zu Vertrauen - und auch noch Geld dafür auszugeben.

Liebe Grüße,
KlaRen

Ok, dann muss ich das wohl etwas genauer erläutern.

Nein, diese Virenscanner-LiveCDs können ihre Datenbank live aktualisieren. Ob sich das auch auf die Engine des Virenscanners selber bezieht, hängt wohl vom Einzelfall ab. Aberfunktioniert live auch.

Ich stimme dir zu, dass die erst genannte Variante mit dem zwischengeschalteten Firewall-/Virenscannerrechner wohl eher für Firmennetzwerke taugt. Aber beispielsweise nachts den eigenen Rechner per LiveCD überprüfen zu lassen (beispielsweise per Desinfec't , hieß früher mal "Knoppicilin" und basierte dementsprechend auf Knoppix, es gibt aber ähnliche Produkte zum Download) kriegt man auch als DAU hin.

Ich würde mal vermuten, dass es weniger riskant ist eine potentiell verkäferte LiveCD auf seinen Rechner los zu lassen, als einen kaputten Scanner auf seinem System fest zu installieren, der dann wie im verlinkten Text beschrieben komische Dinge auf dem Rechner tut. Denn diese LiveCD verändert ja nichts am installierten System selbst, sondern löscht (hoffentlich) lediglich gefundene Viren. Alles andere dürfte eh uninteressant sein, da mit dem herunterfahren des Rechners alle weiteren Probleme hinfällig sein dürften.

Was das abdichten des Rechners betrifft meine ich natürlich: ausschalten sämtlicher autorun- und automounter-Funktionen, Deaktivierung oder Einschaltung von Warnfunktionen bei Makros in Office-Programmen, kein Flash und keine Adobe-Programme (Alternativen verwenden), abdichten des Browsers mit entsprechenden Erweiterungen (JavaScript, Kekse und Plugins aus). Dann kann man es auch riskieren, seinen Produktivrechner ohne diesen Scannerkram zu betreiben (und ihn von Zeit zu Zeit nach der genannten Methode extern überprüfen).

Das Thema Firewall wäre was für einen separaten Threat, der hier nicht ganz rein passt.

Ich jedenfalls verfahre seit Jahren so und werde mir so einen Mist garantiert niemals auf die Platte werfen.

Hi Dr. Tux,

wenn die LiveCD das aber nicht automatisch macht, sehe ich da schon Potential...
Ausserdem wird der Otto Normaluser bestimmt alle paar Wochen Desinfect booten und ein paar Stunden lang einen Scan laufen lassen.
Genau wie er auch jedes Wochenende brav ein Backup des gesamten Systems anfertigt (hüstel).

Du schreibst, dass ein LiveCD Virenscanner sicherer wäre. Das halte ich nur für bedingt richtig. Der Angriffsvector wird zwar dadurch wesentlich verkleinert, dass man den Scanner nur alle paar Wochen laufen läßt. Aber sobald die LiveCD einen Internetzugang hat (den sie ja braucht um aktuell zu sein), gibt es hier auch Angriffsfläche. Und gerade eine veraltete LiveCD könnte hier ein mögliches Scheunentoor sein.
Und dann stellen wir uns vor, dass die LiveCD das Produktivsystem mit Lese- und Schreibrechten einbindet. Da könnte ein Schädling statt zu scannen auch mal leicht alle Dateien verschlüsseln und den Bootsektor austauschen...

Also doch besser den Microsoft Security Essential Virenscanner, der ist nach Aussage der Experten sehr viel weniger Kaputt als die anderen und kostet noch nicht mal einen Cent. Und man spart sich das Unkonfortabel rumhantieren. Denn alles was Unkonfortabel ist, tendiert man hinauszuschieben und dann garnicht mehr zu machen. Und so kommt es dann erst recht zum GAU.

Liebe Grüße,
KlaRen

Ich gewinne denn Eindruck das die Viren von den Virenscanner Herstellern selber Produziert werden.
Ich kann mir nicht Vorstellen das es auf der Welt so viele Menschen gibt die nichts anderes zu tun haben als Millionen Viren zu Programmieren. Dito Viren die Menschen und Tiere befallen können. Vogelgrippe Schweinegrippe der Verkauf der Impfstoffe und Medikamente bringt viel Geld. Das Geschäft mit der Angst Pandemie WHO Pharmalobby schlagen Alarm daran verdienen Banken und Versicherungen und die Pharmaindustrie. Bisher sind Weltweit 1000 Menschen von 7.000 000 000 daran gestorben und das Vorwiegend in Asien wo die Menschen mit den Hühner und Schweinen zusammen im Haus Leben ! Das gleiche was bei Viren für Menschen gilt auch für Computerviren "Hygiene" nicht auf "Schweineseiten"gehen wo "Hühner" sind nicht jeden Dreck auf den PC laden und installieren. Keine E-Mail Anhänge öffnen keine USB Sticks CDs DVD Spiele auf den PC laden ohne Virencheck.Einen PC für diesen Müll und einen PC zum Arbeiten ! Und NoSkript und andere ADDONS verwenden. Und Linux nutzen kein Windows. Die Virenprogrammierer der NSA BKA CIA sind schneller als die Virenscanner Updates.

@KlaRen:

Also so, wie ich diese LiveCDs erlebt habe sind die schon recht komfortabel. So dass das Otto NormalDAU auch hin bekommt (wenn er/sie es denn auch möchte). Aber man kennt ja die Geschichten von Leuten, die Virenscanner zwar installiert, aber deaktiviert haben. Bzgl. des Scanverhaltens liegt es natürlich am Anwender und nicht am Programm-Anbieter.

Ich stimme dir zu, dass selbst auch Linux-Scanner vermutlich Lücken haben. Diese dann aber im Livebetrieb korrumpieren und von dort aus das gemountete System erkennen und distributionsspezifisch zu befallen, halte ich dann doch eher für abstrakt. Da halte ich es eher für realistisch, dass dies beispielsweise über einen verseuchten Werbebanner im Browser geschieht. Aber das ist natürlich nur eine persönliche Hypothese.

@Linuxuser:

Der Verdacht ist naheliegend und schon vielfach geäußert worden, dürfte sich aber nur schwer nachweisen lassen. Somit bleibt das nur eine Hypothese, die im Übrigen auch für Hersteller proprietärer Betriebssysteme gilt. Denn deren Geschäftsmodell besteht nicht darin, dem Kunden bessere Software anzudrehen, sondern neue Software! Trotzdem würde ich mich von solchem Verschwörungsdenken eher distanzieren. Na gut, im Bereich Software haben wir im Gegensatz nur physischen Gesundheit eine wirkliche Alternative, und die heißt OpenSource.
Ich stimme dir zu bzgl. des Surf- und Installationsverhaltens. So einfach ist die Sache aber nicht. Du erinnerst dich an den Servereinbruch bei Mint, der übrigens nicht der erste in dieser Richtung war: den Rothüten ist das auch schon mal vor ein paar Jahren passiert. Und bei Mandrake war da auch mal was, wenn ich mich recht erinnere. Welches Gefahrenpotential bzgl. Softwaremanipulation darin steckt, wirst du dir selber ausmalen können.
Des weiteren rate ich generell ebenfalls zu AddOns, erinnere aber an die inzwischen zwei AddOn-Skandale, wobei es bei entsprechender Böswilligkeit nicht nur möglich ist zu schnüffeln, sondern auch aktiv zu schaden.
Außerdem kann dir in Zeiten automatisch eingebundener Werbebanner über global arbeitende Werbenetzwerke kein Seitenbetreiber garantieren, dass in dieser Werbung kein "Schadkot" drin steckt, was für mein Empfinden grundsätzlich gegen diese spricht. Daher kann ich auch in dieser Hinsicht das Urteilsverhalten des LG Hamburg bzgl. des "Werbeblockerblocker-Entblockungs-Anleitungsverbots" nicht nach vollziehen. Demnach soll man also nicht nur dazu gezwungen werden, aus angeblich marktwirtschaftlichen Gründen heraus diesen Werbedreck über sich ergehen lassen zu müssen. Vielmehr provoziert ein solches Urteil den wohl ebenfalls juristisch kontrovers zu diskutierenden Umstand, gezwungen zu werden, sich den eigenen Rechner durch in Werbebanner eingebetteten Schrott infizieren lassen zu müssen. Mich würde da mal die Frage interessieren, wer in einem solchen Falle eigentlich haftbar sein soll. Der Seitenbetreiber? Der Werbenetzwerkbetreiber? Der Ersteller der individuellen Werbung? Oder gar der Zugangsprovider, der diesen Mist nicht blockiert hat (was wiederum ein Eingriff in die Netzneutralität wäre)?
Dazu kommt dann, dass all dieser Werbeschrott einen nicht gerade geringen Betrag der weltweit genutzten Bandbreite verbraucht. Würde dieser Mist blockiert, würde es weniger Virenepidemien geben und es müsste nicht so herum geheult werden über die ach so überlasteten Leitungen.
Fairerweise muss man aber sagen, dass Linux derzeit einfach kein reizvolles Ziel für Angreifer ist. Zwar ist seine Architektur grundlegend besser. Generell angreifbar ist es aber dennoch. Durch den Mix zahlreicher teils völlig unterschiedlich aufgebauter Distributionen ist der Befall auch noch schwerer als beim "Einheits-Windows". Dass es geht sehen wir aber bei Android (was ja so ganz entfernt etwas mit Linux zu tun hat. )

Hallo Dr. Tux,

Bezüglich der LiveCD liegt das Problem schon darin, dass man manuell die CD/DVD einlegen, booten und den Scan starten muss. Und das regelmäßig. Da geht es garnicht mal um die Ergonomie der LiveCD oder des Virenscanners oder des Updates. Wer das streng nach Kalender schaft... Ich denke das wird irgendwann untergehen.

Sich bei einem Scans zu infizieren ist zugegeben unwahrscheinlicher als bei Focus Online auf einen Werbeschädling zu treffen. Ich wollte nur sagen, dass auch wenn das Bootmedium vielleicht nicht verändert werden kann, es sehr wohl Änderungen am Produktivsystem ausführen kann - mit vollen Rechten bis hin zum kompletten Löschen und Überschreiben. Wenn dann der Vrenscanupdateserver gehackt wurde - Adieu Daten. Ok, wieder Theorie.

Bzügl. Sicherheit muss man gar nicht auf Android schauen. Es gibt immer wieder Kernelpatchorgien, welche diverse Sicherheitslücken des Linux Kernel schließen. Jede Library auf dem System ist ein potentielles Risiko - es gibt tausende. Ist das System nicht auf dem neuesten Stand, weil man nur alle 3 Jahre Updates fährt, kann man sich alleine darüber schon was einfangen - egal welche Distri.

Liebe Grüße,
KlaRen