Antivirus ist kein Snake Oil Marc Ruef | 25.06.2012 In meinem Post mit dem Titel Security by Obscurity - Oder doch nicht? (http://www.computec.ch/news.php?item.377) habe ich einen Effekt beschrieben, bei dem Einsteiger in undifferenzieter Weise vermeintliches Fachwissen nachplappern und damit zur Verbreitung von Halbwahrheiten beitragen. Ein ähnliches Phänomen ist im Bereich Antivirus zu beobachten. Es gibt eine Reihe von Leuten (http://blog.fefe.de/?ts=b1327134), die nutzen jede erdenkliche Möglichkeit, um Antivirus als sogenanntes "Snake Oil" zu bezeichnen. Wikipedia umschreibt ein solches als "Bezeichnung für ein Produkt, das wenig oder keine echte Funktion hat, aber als Wundermittel zur Lösung vieler Probleme vermarktet wird." Die Gegner der Antiviren-Industrie verschreien diese damit als gänzlich unnötig. Ich bin ganz und gar nicht dieser Meinung. In der Tat können Antiviren-Lösungen naturbedingt nicht viel gegen neuartige, zielgerichtete und ausgeklügelte Malware ausmachen. Die musterbasierten Mechanismen müssen halt eben die Strukturen von Malware kennen, um sie erkennen zu können. Verhaltensbasierte Mechanismen können hier eine Kompensation anstreben. Doch auch da kann mit genügend Aufwand die Erkennung umgangen werden. Wir wissen das aus eigener Erfahrung der Vielzahl an durchgeführten Backdoor Tests (https://www.scip.ch/?dienstleistungen.backdoortest). Doch ein Grossteil der sich um Umlauf befindlichen Malware ist halt eben alt, bekannt und simpel gestrickt. Breitflächige Infektionen, wie man sie durch Klassiker wie Sasser, Koobface und SpyEye kennt, stehen an der Tagesordnung. Und genau diese Art von Malware kann sehr gut und effizient durch gängige Antiviren-Lösungen erkannt werden. Bei einer Antiviren-Lösung geht es also nicht darum sämtliche Schädlinge in all ihren Varianten zu erkennen. Viel mehr sollen die Vielzahl an breitflächig eingesetzten Komponenten identifiziert und unkompliziert eingedämmt werden. In erster Linie durch die üblichen Infektionswege per Email oder Datenträger. Die Argumentation gegen Antivirus führt gerne an, dass eine umfassende Aufklärung der Benutzer eben den Einsatz von Security Tools vermeiden lassen könne. Dies mag sein und wäre sicher der richtige Weg. Doch kann man nicht von jedem Benutzer erwarten, dass er sich bezüglich Angriffstechniken und Malware ständig auf dem neuesten Stand hält. Viele Benutzer gebrauchen den Computer halt schlichtweg als Alltagsgegenstand. Genauso kann man nicht von jedem Autofahrer erwarten, dass er seinen Wagen selber reparieren können muss. Zudem gibt es noch immer das Risiko, dass auch ein gut ausgebildeter Benutzer mal eben versehentlich eine falsche Eingabe tätigt. Zum Beispiel dann, wenn ein Mail-Anhang sofort geöffnet anstatt zuerst gespeichert wird. In der Hitze des Gefechts können genau solche Fehler zu unliebsamen Infektionen - selbst mit der primitivsten Malware - führen, die durch den Einsatz einer simplen Antiviren-Lösung hätte verhindert werden können. Der einzige Snake Oil-Effekt, den man der Antiviren-Industrie nachsagen kann, ist im Zusammenhang mit dem Marketing anzuhängen. Wenn da von einer Erkennungsrate von 100% gesprochen wird, dann ist das schlichtweg falsch. Die Realität wird anders aussehen und am Ende des Tages interessiert es niemanden, ob nun eine tatsächlich geschehene Infektion mit 99.9% oder nur 99.8% passiert ist. Und so fasst es Wikipedia dann auch sehr richtig zusammen, dass der Begriff Snake Oil in erster Linie auf die Anpreisung der Wirksamkeit eines Produkts zurückzuführen ist. Nicht auf die Gesamtheit der Lösung. Würde man dabei bleiben wollen, dass ein Ausbleiben einer 100%ig sicheren Lösung stets als Snake Oil zu bezeichnen wäre, dann wäre der gesamte Bereich der Informationssicherheit als solche zu verstehen.