(kostenlose / kostenpflichtige) Antiviren Software | JA oder NEIN

Häufig kommt die Debatte im Netz auf, Antivirensoftware Ja oder Nein.

Meine Erfahrung dazu und warum, meiner Meinung, (derzeit) nicht vollständig auf Antiviren Software verzichtet werden kann:

Szenario:
Stellen wir uns mal vor, in einer Druckerei für T-Shirts, Bücher, Poster oder auch 3D Druck, kommen Kunden mit einem USB Stick, mit ihren eigenen Daten.
Die kann man schwerlich nach Haus schicken und sagen, tut uns leid, PDF, Word, psd oder ähnliches ist uns zu unsicher. Die Druckerei würde ziemlich rasch "pleite" gehen.
Was noch häufiger geschieht, Kunden stellen Anfragen per eMail. Mit Anhang. Dieser Anhang muss geöffnet werden um feststellen zu können, ob es sich um einen Auftrag handelt, einen Kunden. Denn die eMails sind nicht immer Aussagekräftig. Verprellen möchte man keinen Kunden.
Die Druckerei kann auch nicht Microsoft oder Apple verklagen, dass es "Sicherheitslücken" gibt. Auch kann man als "Grafik"-Verarbeitender-Betrieb nicht einfach auf Photoshop verzichten. Das muss schon ein sehr originelles Konzept sein.
Eine kleinere Siebdruckerei, die Öko, Fair und in Handarbeit Qualität liefert, kann sich auch kaum einen vollzeit Admin leisten, der jede Datei von Hand "vorsichtig" ... was soll er machen?

Was würde ich raten?

Denkbar möglich: Dateien werden in einer DMZ (vom internen Netz separierter Rechner), mit Virenscan, geöffnet, konvertiert und auf einen Datei-Server geschoben. Auf diese Weise wäre nur eine Scan Lizenz nötig und alle anderen Rechner wären unbehelligt vom Schlangenöl.

Dieses Szenario ist beliebig übertragbar, auf andere Dienstleistungen und auch auf die externe EMail Kommunikation.
Wobei, eMails werden schon heute von den großen eMail Anbietern gescannt. Daher ist es oftmals unnötig selbige Prozedur daheim zu wiederholen.

Zur Frage Virenscanner ja oder nein?
Meiner Meinung ein klares: Jain.

Denn es kommt darauf an. Im oben genannten Szenario, ein klares Ja. Kunden und Betrieb mit allen vernünftigen Mitteln schützen. Vernünftig bedeutet allerdings auch immer, abzuwägen. zB Aufgaben und Skills der Mitarbeiter zu berücksichtigen. Nicht selten müssen Menschen ohne "medienkompetenz" im Büro einspringen.

"Bitte schau mal nach ob Kunde xyz schon neue Grafiken per Mail geschickt hat."
Klick - zu spät.

Auf einer privaten Linux Desktop Kiste benötige ich derzeit keinen Virus Scanner im täglichen Leben. Hier ein klares Nein.
Auf einem Windows Rechner, der wie ein öffentlicher Mülleimer, Raststätten Toilette oder Internetcafe genutzt wird, ja, warum nicht? Da genügt dann aber auch ein Einfacher Scanner, der nur Hashes vergleicht. Das kostet wenig Ressourcen und geht schnell.

Bei einem Virus Scanner sollte man sich im Klaren sein - er soll Meldung machen, auch um zu verhindern dass man selbst zur Gefährdung seiner Umwelt wird. Ist der Rechner infiziert, vom Netz trennen. Sofort.

Das externe Backup der Bewegungsdaten bleibt imho oberste Pflicht, auch privat, um im Notfall schnell ein vorherigen Stand wieder herstellen zu können.

Update: Lesenswert dazu - andere Meinungen, gleiches Thema:

http://blog.fefe.de/?ts=a7f4c0ac
https://www.burks.de/burksblog/2017/04/26/schlangenoel-revisited-2

Kommentare

Da sind einige semantische Fehler in deinem Beitrag. Kurz: das klassische Signaturscanning ist dank polymorpher Techniken und Kontainertransport (PDF, Officefile, andere komprimierende Formate) tot. AVs reissen Sicherheitslücken in Beitrebssysteme, in denen sie sonst keinen Zugang auf Kernelebene hätten, um *vermeintliche* heuristische Sicherheitskonzepte anzuwenden. Diese schaden mehr als nutzen. Die oft gepriesene Cloud-Experience ist gelogen: ein erfahrener Analytiker braucht Tage, um einen Schädling in einer legitimen Umgebung zu analysieren (Entpacken, Debuggen, verstehen, Gegenmaßnahme erschaffen). Diese angebliche Minutenreaktionszeit ist eine trügerische Sicherheit, die den Anwender weniger wachsam sein wird. Ein Großteil moderner Schädlinge versucht heute sowie per social engineering die Leute zum Klicken zu verleiten. Und letztlich gibt es noch Fehlalarme, Schaden durch falsche Signaturen, die Kosten für die AV-Landschaft und die Tatsache, dass nur ein einziger moderner Schädling reicht, eine ganze EDV zu kompromittieren. Deswegen es auch egal ist, ob man 80% oder 99.99% synthetische Erkennungsrate vorgibt. Zu dem sind die heutigen Angriffspunkte oftmals außerhalb deines Netzes: ich schicke der Sekretärin einen Link auf etwas im Internet, dass sie bewusst bestätigt und von dort aus die Sicherheitskette kompromitiert, sprich die AV überstimmt/außer Kraft setzt. Heute die geklauten Oauth2 Kennwörter auf docs.google.com.
Der beste Ansatz sind immer noch OS-basierte Sicherheitskonzepte und aufgeklärte, wachsame Mitarbeiter. AVs von Dritthersteller sind eher pathologisch inzwischen.

Sorry, aber das will mir nicht einleuchten. Ich lern ja gern dazu, also bitte,...

Herumtheoretisieren ist ja total toll und da bin ich ja voll dabei, Windows, AV und den ganzen Rotz zu verteufeln der soviel Schaden anrichtet, aber sag doch mal einer der Experten was faktisch, praktisch umsetzbares für die Realität.

 

Praxis:

Als Dienstleister kann ich die Dateien weder abweisen, noch kann ich der Datei ansehen ob sie Schadcode enthält.

Was soll nun daran verkehrt sein, einen Rechner als Schleuse zu nutzen, der eine einfache Prüfung übernimmt?

Was wäre denn der Königsweg?

Laden dicht machen?

Annahme von Dateien verweigern, wir nehmen nur noch Papierausdruck, den kann man dann desinfizieren?

 

 

 

 

 

Ich muss noch etwas hinzufügen, aber das klingt sehr technisch, ist aber im Kern kaufmännisch. AV Programme setzen ja an verschiedenen Stellen im OS an. Früher war es der klassische "Filtertreiber", der zwischen OS und I/O-Hardware sitzt, damit er ja jeden Lese- und SchreibvorgaAufruf wie "vmalloc", damit man Heapspraying verhindert. Nun, das ganze kostet natürlich Rechen- und I/O Zeit. Viel sogar. Da hat man je nach Prozessor- oder Chipsatzgeneration einprozentige Zuwächse in der Performance, aber verlangsamt die Abarbeitung von Software um Faktoren 3-20x . Das ist dann schon eine kaufmännische Betrachtung, vor allem im Business. Performanceeinbuße gegenüber Desinfektionszeitraum, sehr vereinfacht modelliert.

Generell bin ich da bei Herrn Leitner, dass OS-Hersteller Schutzmaßnahmen direkt integrieren sollen. Er hat vollkommen recht, dass so Buden wie Gdata oder Panda mit ihren 40 Mitarbeitern das gar nicht mehr leisten können, schon gar nicht in der notwendigen Reaktionszeit.

Ich bin da absolut überzeugt, dass sowohl Felix als auch du richtig mit der Einschätzung liegen, dass 0-DE und auch viele andere Gefahren mit AV überhaupt nicht abzuwehren sind. Die Bürorechner sind heute eh völlig überdimensioniert. 80% aller Büro PCs erledigen noch heute die gleiche Arbeit wie vor 15 Jahren. Die meiste performace verbrät vermutlich das UI und die ständigen Updates.

Aber - und das ist der relevante Teil für kleine, mittelständische oder auch Newcomer Betriebe - ohne AV is man am Arsch.

Microsoft, dass ist mein subjektives Gefühl, hat sich in den letzten Jahren echt gebessert. Was die Patchpolitik und auch die Sicherheit für Nutzer anbelangt. Sie haben zwar neuen Blödsinn eingebaut aber auch viel verbessert.

Ein OS läuft aber nicht von allein. Allen voran ist Adobe der ober Kotzbrocken. Ohne dem geht es vielen Betrieben echt nicht, weil irgendein "Early Adaptor" / wichtiger Mensch aus der Pseudo IT das neuste vom neusten nutzt um sich zu profilieren. Und dazu gibt es noch etliche planlose hübsche Mitarbeiter(innen) die als Empfangsdame für wichtige Leute, wichtige Dokumente mit alter Ranz Technik verschicken. Die darf man auch nicht verprellen.

Letztlich fällt scheisse nach unten. Als Dienstleister haste die Arschkarte. Die Experten schweigen sich aus, weil ein valide Lösung für das Problem gibt es nicht. Nur die Erkenntnis, scheisse - ich bin nicht allein auf dem Planeten.

Ist ein bisschen wie Grippe Impfung.

Einem gesunden, starken Menschen - braucht man keine Grippe Impfung geben. Der verpackt die Grippe, kuriert sich aus und gut.

Ein alter oder aufgrund von Krankheit oder Behinderung anfälliger Mensch kann mit einer Grippe Impfung verhindern, dass zu den neuen Viren ihn auch gleich noch alte ranzige Viren des Vorjahres ins Grab tragen.

Ist derjenige so schwach, dass er die Impfung nicht überlebt, ist das natürlich der GAU. Wir können nicht einmal wissen, ob die Grippe Impfung uns vor irgendwas tatsächlich geschützt hat im letzten Jahr.

Impft man nicht und der schwache Mensch verstirbt, wird sich manch einer vorhalten - hätten wir mal geimpft.

In jedem Fall bedeutet ein Infekt Ausfallzeit.

Ohne AV, ist man als schwächsten Glied der Kette, am Arsch. Dann kann man sich beerdigen lassen. Und das Thema lernen - Schulungen etc, mal ehrlich. mindestens 20% aller Arbeitnehmer sagen dir hinter vorgehaltener Hand: Is mir scheiss egal, das ist nur ein Job. Ich will das gar nicht wissen und wenn der Rechner platt ist hab ich für nen Moment meine Ruhe.

Analog dazu - hab ich meine Grippe, ist das bezahlter Urlaub.

Die meisten IT Jobs sind ohnehin mehr eine Beschäftigungstherapie für Seifenblasenpuster. Ob da was passiert oder nicht, die Welt wird sich weiter drehen.

btw: Ich hab nun ein paar "Experten" gefragt - was soll man tun in einem kleinen Windows Szenario? Tja, schweigen im Wald. Keine Lösung, ist halt auch keine Lösung. Dann doch lieber 23€ für eine Jahresabo der AVMafia.

Neuen Kommentar schreiben