Nutzen von Virenscannern
ZusammenfassungInsgesamt sind Virenscanner also durchaus geeignet, den Schutz eines Systems zu verbessern.
Es kann allerdings sehr gefährlich sein, sich allein auf sie zu verlassen. Die scheinbare "absolute" Sicherheit, die ihre Benutzung manchen suggeriert, verleitet auch dazu, andere Maßnahmen zu vernachlässigen.
Es besteht immer die Gefahr, dass man einmal zu der Population gehört, die infiziert wird, bevor der Scanner den Schädling erkennt. Schließlich muss der Schädling erst einmal entdeckt werden - vieleicht eben gerade auf Ihrem System.
Das Restrisiko eines Malwarebefalls ist trotz Virenscanner noch relativ hoch.
Zur Verbesserung des Nutzerverhaltens wäre auch ein Umdenken in der
Werbe- und Nutzerinteraktionsstrategie gängiger Virenscanner hilfreich:
Statt dem Benutzer dauernd beifallheischend vorzuhalten, welche vielen
gefährlichen Bedrohungen gerade wieder abgewendet wurden, obwohl der bloße
Download einer infizierten Mail keinerlei Bedrohung für den Rechner
darstellt, wäre es sinnvoller, nur bei tatsächlichen Bedrohungen (also
z.B. wenn der Benutzer versucht Malware zu starten),
dort aber entsprechend deutlich einzuschreiten.
Der betreffende Dialog sollte klarmachen, dass der Benutzer gerade einen Fehler gemacht hat, der dank dem Scanner keine gravierenden Konsequenzen hatte und gleichzeitig daran erinnern, dass dies nicht immer "gutgehen" wird.
Bedauerlicherweise wird dies aus naheliegenden Gründen
nicht geschehen.
Man möchte
ja weder die Fehlbarkeit des eigenen Produktes herausstreichen, noch
den Benutzer verärgern, indem man ihm seine Fehler vorwirft.
Methodenkombination und Kosten-/Nutzenanalyse
Die Wahl der Methoden führt auf eine Kosten-/Nutzenanalyse.Im wesentlichen wird man zwei gegensätzliche Fälle vorfinden:
Fall 1:
Für Leute, die sich aktiv um die Sicherheit ihres PC bemühen, indem sie die Maßnahmen nach b) bis d) soweit möglich durchzuführen versuchen und dabei auf keine gravierenden Probleme stoßen, halte ich den Zusatznutzen von Virenscannern für sehr begrenzt.
Szenario 1 (Mailwürmer) ist bereits mit diesen Maßnahmen zu nahezu 100% abgedeckt.
Szenario 2 (Macroviren) lässt sich für viele Aufgabenfelder ebenfalls nahezu vollständig abdecken. Hier sehe ich eine Nische dort, wo makrobehaftete Dokumente oft gemeinsam bearbeitet werden müssen.
Szenario 3 (Trojaner) ist bei diesem Anwenderkreis nicht allzu häufig und kann durch sorgsame Recherche und Information über Programmpakete weit im Risiko reduziert werden.
Szenario 4 (Clientexploits) und
5 (Dienstexploits) sind mit den
anderen Maßnahmen weitgehend abgedeckt.
Restrisiko blieben Exploits, die von Scannern abgefangen werden können,
bevor die Dienste gepatcht sind.
Das ist zur Zeit sehr rar (meines Wissens gibt es kein Beispiel).
In diesem Fall fällt für mich die Kosten-/Nutzenanalyse zuungunsten der Virenscanner aus. In den einzigen Modi, in denen sie da Zusatznutzen bringen (Überwachung aller Kommunikationskanäle) verbrauchen sie erhebliche Mengen Systemressourcen und man ist gezwungen, eine sehr große zusätzliche Codebasis an vielen kritischen Stellen des Systems einzubringen. Das damit verbundene Zusatzrisiko überwiegt den Zusatznutzen.
Für diese Anwendergruppe empfehle ich einen Virenscanner nicht.
Fall 2:
Hat man hingegen mit Anwendern zu rechnen, die keinerlei Antrieb verspüren, sich mit diesen Problematiken auseinanderzusetzen, sieht die Situation anders aus. Besonders wenn man diese Anwender nicht technisch zwingen kann.
In diesen Fällen verringert der Einsatz eines Virenscanners sowie eines geeigneten Backupsystems die Häufigkeit des Befalls und die mit dessen Erkennung und Beseitigung verbundenen Probleme.
Ungünstigerweise ist gerade bei dieser Zielgruppe oft verstärkt mit einer "ich habe doch einen Virenscanner, mir kann doch nix passieren"-Mentalität zu rechnen, was die weitere Verringerung des Risikos erschwert.
Szenario 1 (Mailwürmer)
ist bei dieser Nutzergruppe mangels Einsicht nur durch
technische Maßnahmen lösbar, was aber für viele Umfelder nicht
durchsetzbar ist.
Man kann zwar die technischen Hilfen, die ich in c) aufführe, einsetzen,
aber letztlich besteht immer die Gefahr, dass der betreffende Nutzer sich
über die Warnungen hinwegsetzt.
Szenario 2 (Macroviren) ist aus den gleichen Gründen noch kritischer, da der Austausch solcher Dateien noch unverzichtbarer für diese Nutzergruppe ist. Nur in Umfeldern, wo die in 2d) aufgeführten technischen Maßnahmen mit hinreichend geringen Reibungsverlusten machbar sind, ist dort Sicherheit zu erreichen.
Szenario 3 (Trojaner)
ist bei dieser Nutzergruppe überhaupt nicht kontrollierbar.
Mit Hilfe des Virenscanners kann immerhin die Infektion mit hinreichend
alter Malware weitgehend vermieden werden.
Szenario 4 (Clientexploits)
kann etwas eingedämmt werden, wenn man den Nutzer von der
Nützlichkeit stabiler Clients und Updates überzeugen kann,
5 (Dienstexploits) analog
durch Überzeugen von der Unnötigkeit oder Schutzbedürftigkeit
der betreffenden Dienste.
Zusätzlich sollte versucht werden, die mangelnde Unfehlbarkeit von
Virenscannern deutlich zu machen und den prinzipiellen Unsinn von
Reinigungsversuchen im Vergleich zu einem guten BackupBackup
Anfertigen einer Sicherheitskopie zum Schutz vor Datenverlust.
Ein verläßliches Backupsystem ist einer der Grundpfeiler der IT-Sicherheit.
zu kommunizieren.
Fazit
- Wenn es irgendwie möglich ist, sollte man versuchen, sich in Richtung
Nutzer der ersten Kategorie zu bewegen.
Dann braucht man keinen Scanner. - Ist das nicht möglich, sollte man zumindest versuchen, sich über
die konzeptionellen Schwierigkeiten von Scannern klarzuwerden.
Aus dieser Erkenntnis sollte soviel Vorsicht erwachsen, dass man zumindest nicht bei jedem Versagen der Scanners zum Opfer wird und man zumindest mit relativ erträglichem Aufwand nach einer Infektion wieder auf einen sicheren Zustand mit möglichst wenig Datenverlust gelangt. - Wer hingegen auf der Suche nach einer Software ist, die vom
ihm keinerlei Anstrengung erfordert und "Sicherheit auf Knopfdruck"
selbst bei eigenem massivem Fehlverhalten bietet, der wird auch mit
Virenscannern nicht glücklich werden.
