Nutzen von Virenscannern

Farbcodierungen:

In den untenstehenden Betrachtungen werden Farben benutzt, um die Vor- und Nachteile einzelner Methoden herauszuheben, so dass man ggf. schnell querlesen kann:
Rot gesetze Passagen kennzeichnen Nachteile und Einschränkungen der jeweiligen Methode.
Grün kennzeichnet Vorteile.
Orange weise auf Problemfelder und Zweifelsfälle hin.

Szenario 1
Ausführbare Mailwürmer mit Verbreitung durch Userklick

a) Virenscanner
Wenn der Schädling bekannt ist, kann der Scanner ggf. eine Infektion verhindern, wenn er korrekt installiert und konfiguriert ist.
Systembedingt gibt es aber eine gewisse Population, bei der der Schutz zu spät kommt. Je schneller sich der Wurm verbreitet, desto größer ist diese Population.
Für Fälle, in denen andere Maßnahmen nicht ergriffen werden können, also eine sinnvolle Maßnahme zur Verringerung der Infektionszahl.

b) verringerte BenutzerrechteNutzerrechte
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien unberechtigt verändern oder den Zugriff auf das System verhindern.

In der Regel existieren verschiedene Berechtigungsstufen, von denen die oberste, der Administrator sich zumeist auch über alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Vielen Schädlingen dürften auch normale Nutzerrechte vollauf genügen, um ihre Schadfunktion zu entfalten - schließlich wollen sie im Wesentlichen Mail versenden, was ein normaler Benutzer üblicherweise darf.
Evtl. stolpern einige weil sie nachlässig programmiert sind und einfach AdministratorrechteAdministrator
Der Verwalter eines Computersystems. Der Begriff bezeichnet auch alle Benutzer, deren Nutzerrechte es ermöglichen, Sicherheitsmaßnahmen des Systems zu umgehen. Die Arbeit auf solchen Benutzerkonten sollte auf Verwaltungsaufgaben beschränkt werden, da Fehler besonders drastische Konsequenzen haben können. voraussetzen.
Präventive Wirkung also gering, aber ein Wiederaufsetzen des Systems wird deutlich vereinfacht - es muss nämlich nicht der Rechner neu aufgesetzt werden, sondern es genügt, die Userdaten zu sichern, den Nutzer neu anzulegen und die (ggf. geeignet gefilterten) Benutzerdaten zurückzuspielen.

c) Benutzeraufklärung und entsprechender Umgang mit Fremdbinaries
Soweit durchführbar, ist die präventive Wirkung sehr hoch. Es gibt nur wenige Spezialfälle, in denen überhaupt ein regelmäßiger, nicht speziell koordinierter Empfang von ausführbarem Code notwendig ist.
Dieser Umgang kann durch geeignete Maßnahmen noch unterstützt werden. Also hinreichend auffällige Warnungen im Client, ggf. auch administrative Sperrung bestimmter Attachments, Sichtung durch einen entsprechend qualifizierten Benutzer, Austausch von Binaries mit vertrauenswürdigen Partnern nur per signierter Mail, etc.
Der Vorteil dieser Methode liegt in der nahezu 100%igen Schutzwirkung für sehr viele Szenarien.
Schlupflöcher bilden menschliche Fehler und mit einem klassischen VirusVirus
Ein Programm, das in der Lage ist, sich in andere Programme einzuschleusen.
Diese Schädlingsklasse war verbereitet, als Daten und Programme noch vorwiegend über Datenträger ausgetauscht wurden.
Moderne Schadprogramme sind genau genommen zumeist sog. Würmer oder auch Mailwürmer, werden aber dennoch aus historischen Gründen häufig als Virus bezeichnet.

Lesen Sie dazu auch unseren Artikel über den Nutzen von Virenscannern.

infizierte erwartete Binaries.

d) technische Maßnahmen
Sofern eine Umsetzung von c) nicht erfolgversprechend erscheint, weil z.B. die Benutzer nicht kooperieren (öffentliche Terminals), oder deren entsprechende Ausbildung nicht praktikabel erscheint, kann man versuchen einen ähnlichen Effekt mit technischen Mitteln durchzusetzen:
Das wären Software Restriction Policies, generelle Filterung von potentiell ausführbaren Attachments, etc.
Die Schutzwirkung ist ähnlich hoch bis höher als bei c) mit dem Nachteil, dass evtl. dadurch die Arbeit stärker erschwert wird und der administrative Aufwand steigt.
Wenn Binaries regelmäßig ausgetauscht werden müssen, ist diese Maßnahme nicht durchführbar.

Szenario 2
Macroviren

a) Virenscanner
siehe Szenario 1, Punkt a)

b) verringerte BenutzerrechteNutzerrechte
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien unberechtigt verändern oder den Zugriff auf das System verhindern.

In der Regel existieren verschiedene Berechtigungsstufen, von denen die oberste, der Administrator sich zumeist auch über alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
siehe Szenario 1, Punkt b)
Allerdings ist es noch etwas wahrscheinlicher, dass dem Schädling normale Nutzerrechte genügen.

c) Benutzeraufklärung
Die Erkennung durch den Benutzer funktioniert nur gut, wenn er eine vernünftige Indikation hat, dass ein Dokument ggf. schädlichen Macrocode trägt.
Die üblichen Applikationen mit eingebautem Macrointerpreter warnen eigentlich deutlich vor dem automatischen Ausführen von Macros. Leider nehmen viele Benutzer diese Warnungen nicht hinreichend ernst.
Die Wirkung dieser Warnung hängt stark davon ab, wie oft in regulären Dokumenten entsprechende Warnungen auftreten.
Die Schutzwirkung variiert hier je nach Umfeld sehr stark.

d) technische Maßnahmen
Der Einsatz von Viewern, die die entsprechenden Makrosprachen nicht interpretieren, aber den Dateiinhalt ausreichend darstellen bzw. eine entsprechende Konfiguration des "normalen" Anzeige-/Editierprogrammes, Makros zu ignorieren, erzielt eine gute Schutzwirkung.
Es hängt stark von den Aufgaben der Benutzer ab, ob solche Viewer akzeptabel sind. Wenn gemeinsam an Dokumenten gearbeitet werden muss, sind sie zumeist nicht einsetzbar. In diesen Fällen kann aber oft noch mit einem geeignet konfigurierten "normalen" Anzeige-/Editierprogramm gearbeitet werden.

Szenario 3
Trojanische Pferde

a) Virenscanner
siehe Szenario 1, Punkt a)

b) verringerte BenutzerrechteNutzerrechte
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien unberechtigt verändern oder den Zugriff auf das System verhindern.

In der Regel existieren verschiedene Berechtigungsstufen, von denen die oberste, der Administrator sich zumeist auch über alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Nicht relevant, da bei absichtlicher Installation AdminrechteAdministrator
Der Verwalter eines Computersystems. Der Begriff bezeichnet auch alle Benutzer, deren Nutzerrechte es ermöglichen, Sicherheitsmaßnahmen des Systems zu umgehen. Die Arbeit auf solchen Benutzerkonten sollte auf Verwaltungsaufgaben beschränkt werden, da Fehler besonders drastische Konsequenzen haben können. vorliegen werden.

c) Benutzeraufklärung
Problematisch.
Im Firmenumfeld mit entsprechend qualifizierter IT-Abteilung eher problemarm, im Privatumfeld sehr problematisch.
Der Nutzer will ja die betreffende Software installieren.

d) technische Maßnahmen
Nur im Firmenumfeld relevant: BenutzerrechteNutzerrechte
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien unberechtigt verändern oder den Zugriff auf das System verhindern.

In der Regel existieren verschiedene Berechtigungsstufen, von denen die oberste, der Administrator sich zumeist auch über alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können. oder Software Restriction Policies verwenden, um Nutzer das Installieren eigener Software zu verweigern. Schutzwirkung hoch

Szenario 4
Per ExploitExploit
Von engl. "ausnutzen". Ein Programm oder besonders gewählte Daten, die dazu geeignet sind, einen Programmfehler zum eigenen Vorteil auszunutzen.

Dazu wird in der Regel eine unvorhergesehene Situation provoziert (z.B. die Übertragung einer 300-stelligen Bankleitzahl, obwohl eigentlich nur 8 Zeichen eingegeben werden können), die dann einen fehlerhaften Programmablauf verursacht, der für den Angreifer vorteilhaft ist.

Eine besonders wichtige Art des Exploits stellt der Buffer Overflow dar. gegen Browserkomponenten, Mailclients oder andere Clients automatisch gestartete Malware.

a) Virenscanner
siehe Szenario 1, Punkt a)
Aufgrund der normalerweise hohen Verbreitungsgeschwindigkeit dieser Malwareart ist mit einer besonders großen Population von ungeschützten Systemen zu rechnen.
Des weiteren ist es evtl. schwierig, sich in alle relevanten Eingangsdatenströme zu klinken.

b) verringerte BenutzerrechteNutzerrechte
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien unberechtigt verändern oder den Zugriff auf das System verhindern.

In der Regel existieren verschiedene Berechtigungsstufen, von denen die oberste, der Administrator sich zumeist auch über alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
siehe oben

c) Benutzeraufklärung
Kaum möglich.
Ggf. geringer Einfluss durch Auswahl der besuchten Inhaltsanbieter möglich. (Web und andere Medien, bei denen man die Inhalte vorwiegend aktiv bestimmt.)
Ich halte den Einfluss für gering, da es durch die zunehmende Verbreitung von Werbeeinblendungen per IFRAME oder serverseitigem Include möglich wird, durch Kompromittierung eines einzelnen Ad-Serve-Systems auch über ganz seriöse Seiten Malware verbreiten zu können. Natürlich kann man sein Riskio erheblich erhöhen, indem man besonders wenig vertrauenswürdige Sites (Cracks, Serialz, Porn, etc.) besucht.
Kaum Einfluss bei Medien wie Mail.

d) technische Maßnahmen
Aktuellhalten der Software, Einsatz stabiler Software, Nutzung von Tools, die ExploitsExploit
Von engl. "ausnutzen". Ein Programm oder besonders gewählte Daten, die dazu geeignet sind, einen Programmfehler zum eigenen Vorteil auszunutzen.

Dazu wird in der Regel eine unvorhergesehene Situation provoziert (z.B. die Übertragung einer 300-stelligen Bankleitzahl, obwohl eigentlich nur 8 Zeichen eingegeben werden können), die dann einen fehlerhaften Programmablauf verursacht, der für den Angreifer vorteilhaft ist.

Eine besonders wichtige Art des Exploits stellt der Buffer Overflow dar. erschweren (Stack-Guard Technologien etc.)
Die Schutzwirkung ist (zur Zeit) in der Regel sehr gut. Zero Day Exploits sind relativ rar.

Szenario 5
Per ExploitExploit
Von engl. "ausnutzen". Ein Programm oder besonders gewählte Daten, die dazu geeignet sind, einen Programmfehler zum eigenen Vorteil auszunutzen.

Dazu wird in der Regel eine unvorhergesehene Situation provoziert (z.B. die Übertragung einer 300-stelligen Bankleitzahl, obwohl eigentlich nur 8 Zeichen eingegeben werden können), die dann einen fehlerhaften Programmablauf verursacht, der für den Angreifer vorteilhaft ist.

Eine besonders wichtige Art des Exploits stellt der Buffer Overflow dar. gegen Dienste gestartete Malware

a) Virenscanner
siehe Szenario 4, Punkt a)
Die Schwierigkeiten des Einsatzes treten hier allerdings noch ausgeprägter auf, da die Dienste oft sehr weit verbreitet sind (große Populationsdichte) und ein Einklinken in ihre Datenströme den Normalbetrieb stark beeinträchtigen kann und daher oft nicht erfolgt.
Besonders ärgerlich ist, dass die weite Verbreitung der Dienste völlig überflüssig ist. Für sehr viele Szenarien werden diese Dienste gar nicht, oder nur innerhalb des LANs benötigt und sollten daher abgeschaltet oder von außen nicht erreichbar sein.

b) verringerte BenutzerrechteNutzerrechte
Übliche moderne Betriebssysteme (Unix, Windows ab Windows NT) unterscheiden verschiedene Benutzer und sind in der Lage, sie mit verschiedenen Rechten auszustatten.
Dieser Mechanismus ist dazu gedacht, zu vermeiden, daß Benutzer versehentlich oder auch absichtlich anderen Benutzern schaden, indem Sie z.B. deren Dateien unberechtigt verändern oder den Zugriff auf das System verhindern.

In der Regel existieren verschiedene Berechtigungsstufen, von denen die oberste, der Administrator sich zumeist auch über alle Schutzmaßnahmen hinwegsetzen kann - z.B. um Dateien aller Benutzer backuppen zu können, oder verlorene Paßwörter zurücksetzen zu können.
Nicht relevant, da die Dienste meist mit sehr umfassenden Privilegien laufen.

c) Benutzeraufklärung
Nicht relevant, da die Dienste ohne Nutzerinteraktion laufen.

d) technische Maßnahmen
Aktuellhalten der Software, Einsatz stabiler Software, Abschalten/ Unzugänglichmachen nicht benötigter Dienste, Nutzung von Tools, die Exploits erschweren, Konfiguration der Dienste auf minimale Privilegien.
Die Schutzwirkung ist in der Regel sehr gut. Die Angriffsfläche kann oft massiv verringert werden. Zero Day Exploits sind relativ rar.

weiter zur Zusammenfassung