Diskussion: Braucht man AV-Programme?

[Tician]

Moinsen!

Ich wollte mal eine Diskussion anregen, zwar nicht mehr ganz aktuell, aber vor kurzer Zeit noch wurden AV-Programme als Schlangenöl-Branche bezeichnet und weil ich mit dem Gedanken spiele einen Blog hier im Forum über AVs zu schreiben wollte ich mal Meinungen sammeln (und bin natürlich auch sehr Neugierig wie unsere Informatiker hier denken)

Was haltet ihr von AV-Programmen allgemein?

Habt ihr selbst ein AV-Programm?

Gibt es Unterschiede privat und am Arbeitsplatz?

Welche Kriterien muss ein AV-Programm eurer Meinung nach erfüllen?

Habt ihr euch schonmal was eingefangen?

... ?

------------------------------------------

Ich fange mal selbst an:

Meine Meinung über AV ist sehr zwiespaltig, zum einen agieren AV auf sehr tiefer Systemebene und bieten somit eine Angriffsfläche, da (soweit ich sagen kann) es keine Software gibt die wirklich 100% sicher ist. Zum anderen bieten sie natürlich trotzdem einen gewissen Schutz, wie auch immer dieser von AV zu AV aussehen mag. Auch auf psychologischer Ebene scheint es für Benutzer ein besseres Gefühl zu sein ein AV zu haben. Nachteil natürlich wiederum das dann ein gewisser Leichtsinn mit dazu kommt. Hat alles also 2 Seiten, ich sehe beide Seiten und stehe irgendwo dazwischen.

Vom trojaner-board wurde ich stark in meiner Meinung zu verschiedenen AVs beeinflusst. Die Tripple-A-Programme wie wir sie nennen (Avira, Avast, AVG) verkaufen Nutzerdaten und arbeiten mit Toolbar-Herstellern und Such-Anbietern zusammen die ich einfach persönlich nicht mag und auch der Meinung bin das ein AV-Installer keine "Häkchen zum entfernen von zusätzlicher Software" beinhalten darf, denn viele User wissen nicht das man die vorher entfernen muss. Benutzen tu ich privat Emsisoft, ich meine die sind recht unbekannt aber ich kann mich mit deren Motiven und Einstellungen am besten identifizieren.

Die Performance ist mir absolut zweitrangig, heutzutage haben ja fast alle PCs genügend Resourcen um ein AV jeglicher Art laufen zu lassen. Außnahme ist wenn ein AV regelmäßig gegen die Wand rennt und 100% CPU eines DCs verbraucht... (ja schon geschäftlich gehabt).

Ich hatte erst ein einziges mal eine sehr hartnäckige Adware, die aber absolut meine Schuld war, quasi selbst in grandioser Dämlichkeit installiert  

 

Ein AV kann nicht zu 100% schützen, das sage ich jedem fragenden User. Deswegen vertrete ich auch die Meinung das (vorallem im Unternehmens-Umfeld!) zusätzlicher zu einem AV auch eine Schulung gehört. Eine Schulung für jeden der ins Internet geht. Mal kurz ansprechen wie dubiose Mails aussehen, worauf zu achten ist, das Rechnungen IMMER per Post kommen müssen, etc. Verhalten im Internet bei Kindern/Jugendlichen, das man Programme am besten nur von Herstellerseiten direkt runter läd, das man die Häkchen für Toolbars und ähnlichem in Installationen entfernt (z.B. bei Adobe-Produkten). All das steht meiner Meinung nach vor einem AV-Produkt.

 

Das sind alles nur spontane Gedanken und mit den richtigen Begründungen ändert sich meine Meinung auch schnell^^ Jetzt aber genug, wie sieht es bei euch aus?

Bearbeitet 12. Mai 2017 von Tician

[Chief Wiggum]

Die Diskussion reduziert sich (jedenfalls in der Windows-Welt) auf die Frage: reicht der systemintegrierte Schutz durch Windows Firewall und Windows Defender / Security Essentials aus oder muss es denn noch zusätzlich ein weiteres Produkt sein (das seine eigenen Sicherheitslücken mitbringen kann)?

[KeeperOfCoffee]

Finde die Diskussion im Moment noch nicht angebracht da:

Mit dem erst kürzlich erschienenen Creators Update hat meines Wissens auch der Windows Defender ein umfassendes Update erhalten und soll sich angeblich ziemlich verbessert haben.

Nutzer können dies aufgrund der geringen Zeit allerdings noch nicht beurteilen.

Ansonsten kennst du meine Position ja, als es da die Diskussion im Chat gab

Bearbeitet 12. Mai 2017 von KeeperOfCoffee

[Tician]

Defender lässt sich mit einer winzig kleinen Veränderung eines Registry-Schlüssels ausschalten.

Ich weiß nicht wie leicht das mit anderen AVs ist muss ich ehrlich sagen.

 

Trotzdem würde mich interessieren welche AVs ihr benutzt und warum? Ich könnte mir vorstellen das andere AVs (als der Defender) interessant sind die eine zentrale Steuerung anbieten, sodass man in einem Netzwerk den Status der verschiedenen AVs sehen kann, benachrichtigt wird wann was gefunden wurde und auch global Ausnahmen definieren kann.

Das nur mal als Idee.

[Tician]

Ach Leute, eure Meinungen wären echt super!

Hier mal eine neue Anregung:

http://weblog.av-comparatives.org/proactive-protection-wannacry-ransomware/

Wer weiß ob das auch stimmt aber angeblich hat man hier AVs mit einer Signatur vor dem Ausbruch von WannaCry mit der Malware getestet - das Ergebnis finde ich doch ziemlich erstaunlich, haben ja doch einige AVs von vornherein die Datei blockiert.

[turingtest]

Ich bin zwar Informatikstudent und kein Fachinformatiker, da ich das Thema aber interessant finde, wollte ich einfach mal meine Meinung dazu äußern.

Ich zum Beispiel informiere mich immer über Software bevor ich sie installiere, ich installiere Software nur aus vertrauenswürdigen Quellen und installiere regelmäßig Updates.

Ich Surfe nur mit aktuellem Browser ohne Flash dafür mit uBlock (adblocker) und noScript.

Auf meinem Windows Rechner habe ich zusätzlich noch über den Sicherheitsrichtlinieneditor eine Whitelist für die Software die auf dem Rechner ausgeführt werden darf erstellt. (Damit dürften auch so ziemlich alles was an Schadsoftware über e-mail reinkommt erschlagen sein selbst wenn ich mich mal verklicke).

Das heißt die einzige relevante Angriffsszenarien wo bei mir ein Antivirenprogramm noch ein bisschen Schutz vor bieten würde wäre:

1. Das ich aus versehen oder weil ich erfolgreich getäuscht wurde einem schädliches Programm in die Whitelist aufnehme und dann ausführe.

2. Das es einem Angreifer gelungen sich Zugang auf die Webseite/Update-Server/Repostories von genau einem der Softwareherstellen von denen Ich ein Programm nutze zu verschaffen und dann ein „echtes“ Update bereitzustellen.

3. Dem Angreifer gelingt es über eine Lücke in einem Prozess zu kapern der auf einem Port lauscht.

Alles 3 sind zwar mögliche aber eher unwahrscheinliche Szenarien (möglichkeit 3 setzt zudem voraus das der Angreifer bereits hinter meiner Firewall sitzt und zudem so eine Lücke kennt und diese noch nicht gepatcht ist). Allerdings sind dies auch Szenarien in denen es nicht unbedingt wahrscheinlich ist, das AV-Programme auf den Schädliche Code anschlagen, da sollten diese Fälle eintreten die Attacke noch ziemlich neu sein würde (es gibt noch keine Signaturen, heuristik klappt nur wenn es eine Malware mit ähnlichem Bytemuster schon gegeben hat und eine Erkennung über Verhaltensanalyse ist auch nicht sichergestellt)

Ich könnte also auch auf ein Antivirenprogramm verzichten.

Für den Otto Normalverbraucher sieht das aber unter Umständen anders aus. Updates werden nur eingespielt wenn es automatisch geschieht und selbst dann wird sich noch darüber beschwert das es so lange dauert. Es werden Programme installiert ohne sich darüber Gedanken zu machen wo sie herkommen oder was sie sonst noch so mitbringen. Selbst diejenigen die bei e-mail Anhängen vorsichtig sind können mal einen Fehler machen. Und der Kinder betreibt womöglich auch noch Filesharing (nicht dass das generell was schlechtes wäre aber vorsichtig sind die dabei vermutlich nicht). Selbst mit Windows Professional werden die meisten den Aufwand scheuen ein Whitelisting einzurichten auch wenn es bei der Abwehr von Malware effektiver wäre als eine AV-Programm.
 

Betrachtet man jetzt als Beispiel mal ein anders Betriebssystem sieht das mit dem was will ich schützen auch ganz anders aus.

Benutze man zum Beispiel Linux so als Desktop so brauche man da kein Antivirenprogramm zu Schutz des System zum einen weil Linux als Desktops OS eine so geringe Verbreitung hat das es sich nicht lohnt speziell dafür Schadsoftware zu schreiben. Zum anderen findet die meiste Software für einen Linux Desktop braucht bereits in den Repostiories der Distribution und selbst wenn sich Nutzer aus anderen Quellen Software herunterladen. Linux hat außerdem anders als Windows keine Dienste die deafaultmäßig Ports öffnen. Hält man sein System nun noch mit regelmäßigen Updates aktuell, ist das Risiko sich Schadsoftware einzufangen ebenfalls gering.

Hier reduziert sich die Schutzfunktion des AV-Programms im Wesentlichen darauf eine versehentliche Weitergabe zu vermeiden. Dafür braucht ein AV-Programm noch nicht mal mehr Systemrechte.

Ich bin mir nicht ganz sicher wie bedroht Linux Server sind, da die weiter verbreitet sind und offene Ports haben müssen. Aber soweit ich weiß wird auch hier AV eher eingesetzt um eine Weitergab zu verhindern (Bsp. Mailserver prüft eingehende Mailanhänge). Allerdings gibt es hier auch noch eine ganze Menge andere Angriffsszenarien die man berücksichtigen muss (z.B. sql-injection, Bruteforce-attacken, ddos, ...).

 

Braucht man also ein AV-Programme?

Ich weiß das AV-Programme Schwächen haben (teils sogar konzeptionelle). Aber ich würde sagen, ob man ein AV-Programm braucht, hängt ganz davon ab was man mit dem AV-Programm erreichen bzw. welches System man damit wovor Schützen möchte und welchen Aufwand man dazu betreiben möchte.

Ist zwar etwas lang geworden, aber ich hoffe ich konnte zu diesem kontroversen Thema konstruktiv beitragen.

Bearbeitet 22. Mai 2017 von turingtest

[Chief Wiggum]

vor 13 Minuten schrieb turingtest:

2. Das es einem Angreifer gelungen sich Zugang auf die Webseite/Update-Server/Repostories von genau einem der Softwareherstellen von denen Ich ein Programm nutze zu verschaffen und dann ein „echtes“ Update bereitzustellen.

Ist gar nicht mal so unwahrscheinlich. https://www.heise.de/security/meldung/FossHub-kompromittiert-Software-Installer-mit-Malware-infiziert-3286347.html

[turingtest]

Puh da hab ich ja Glück gehabt, dass ich noch keine Software von FossHub heruntergeladen habe.

Aber du hast recht, Szenario 2 ist von den dreien noch das Wahrscheinlichste und der Hauptgrund warum ich unter Windows mein AV noch nicht ganz eingemottet habe.

Bearbeitet 22. Mai 2017 von turingtest

[Asura]

Aktuell verwende ich Sophos.. Bin damit ziemich zufrieden.

Mit Avira hatte ich so meine persönlichen Problemchen. Mal so Zusammengefasst, hat es sich in 3 von 4 Fällen nicht ordentlich installieren lassen, so dass ich nur eine halbe Installation drauf hatte, die die Hälfte ihrer Tätigkeiten machte. Sie hat diverse Ausführungen geblockt, die ich allerdings gebraucht habe.. Allerdings konnte ich Avira nicht konfigurieren, da ich immer eine Fehlermeldung bekommen habe, deinstallieren lies sich diese Software im Übrigen auch nicht. Letztendlich hatte mich Avira zu einer Formation überredet.. Seitdem meide ich dieses Stück an Software.

Avast hatte ich ab und an mal im Einsatz, ich kann darüber nichts Positives oder Negatives sagen.

Ich war bisher an jedem Vireneinfang von meinem Rechner selbst schuld, daher kann ich kein AV (außer Avira) persönlich als schlecht abstempeln.

Grundsätzlich zählt: Gehirn > AV

[Tehrob]

Habe 10 Jahre lang auf allen Rechnern im Haus Symantec AV Produkte laufen gehabt
und mir nicht ein einziges mal was eingefangen.

Vor 2 Jahren hab ich mir eine weitere Kiste angeschafft und für die keine AV Lizenz über gehabt. Zu der Zeit gab es auch schon die ersten Diskussionen zu diesem Thema. Aufgrund dessen habe ich mich dann entschlossen einfach mal die Probe aufs Exempel zu machen und die Kiste nur mit den Windows Standard Schutz laufen lassen.

Nachdem dann ein ganzes Jahr lang keinerlei Probleme aufgetreten sind - und meine AV Lizenz ihr Ende erreichte - habe ich dann entschlossen, Symantec von allen Rechnern zu schmeißen. Mein Schutz besteht also nur noch aus aktuellem Betriebssystem das ordentlich geupdated wird und Werbeblocker im Browser.
Bis jetzt läuft alles wie geschmiert. 

Letztendlich kann man sagen dass man mit einem aktuellen Betriebssystem und sauberen Updates sowie einem gesundem Surf/Internet Verhalten auch ziemlich sicher unterwegs ist.

 

Bearbeitet 23. Mai 2017 von Tehrob

[Tician]

Hey Leute ich freu mich rießig über eure Antworten und Meinungen und kann alles nachvollziehen und stimme dem dem meisten auch zu.

@AsuraVielen Dank für deine Ehrlichkeit, ich dachte ich wäre die einzige die sich Malware durch eigenverschulden anlacht

@turingtestEine Sache interessiert mich doch: Wenn ich das richtig verstehe gäbe es bei dir noch eine Möglichkeit das System zu infizieren: Nehmen wir mal an du hast Office und öffnest eine Datei (natürlich in absoluter Unwissenheit ) mit Makros wärst du wohl auch infiziert - oder hättest ein paar verschlüsselte Dateien. Da die Office-Programme vermutlich auf der White-List wären wäre das auch eine Möglichkeit, richtig? Oder übersehe ich eine Schutzmaßnahme - den gesunden Menschenverstand mal ausgenommen?

 

[thereisnospace]

vor 6 Stunden schrieb Tehrob:

Bis jetzt läuft alles wie geschmiert.

Und woher bist du dir sicher, dass kein Keylogger im Hintergrund mitläuft?

Unabhängig davon stimme ich dir zu - mit gesundem Menschenverstand und IT-Affinität fängst du dir eher selten was ein. Ich selbst habe AVIRA Free installiert, falls beim Urlaubsbilderaustausch über utorrent vielleicht doch mal was ungewolltes mit dabei ist

[Tehrob]

vor 5 Minuten schrieb Gottlike:

Und woher bist du dir sicher, dass kein Keylogger im Hintergrund mitläuft?

Sicher kann man sich da nie sein das ist richtig. Das gilt aber auch beim Einsatz von üblicher AV Software.

Bisher hatte ich aber noch nie Theater mit Leuten aus Timbuktu die sich in meine Accounts einloggen so wie ich das bei anderen Leuten schon gesehen habe (Mein Account wurde gehackt blabla). Auch wurde noch nie mit meinem Bank Account oder Online Versandhaus Accounts schabernack getrieben. Würden Keylogger bei mir laufen, würden die Daten auch irgendwann genutzt werden. Das war bisher nicht der Fall.

Letztendlich will ich auch gar nix gegen AV Software sagen. Ich habe nur für mich selber festgestellt das ich mit meiner Lösung bisher gut fahre und das auch so fortfahren werde.

[turingtest]

@Tician Die Macros sind bei mir in Office standartmäßig aus (eingeschaltet werden die auch nur dann, wenn das Dokument aus einer Quelle kommt, der ich Vertraue). Außerdem laufen, zumindest sowiet ich weiß, die meißten Infektionen durch Makros so ab, dass das Makro nur die eigentliche Schadsoftware nachläd und dann versucht diese Auszuführen. Was dann wieder von der Whitelist verhindert werden sollte. Was natürlich nicht heißen soll, dass von Macros nicht noch ein Restrisiko ausgeht.

Aber gerade um das Restrisiko zu minimieren, habe ich mein AV-Programm ja noch.

 

Bearbeitet 23. Mai 2017 von turingtest

[Tician]

Neueste Masche auf die Google und AVs leider noch nicht reagiert haben:

Möchte man sich als deutsch-sprachiger Bürger den VLC Media Player runterladen so wird man als erstes Ergebnis vlc.de finden. Die Seite ist fake (sie bietet auch Open Office zum Download an...), sie verändert nichts an der Software selbst bringt aber einen Installer mit der die Startseite und Such-funktion von Browsern verändert + 2 Spiele mitbringt.

Der eigentliche Hersteller des VLC ist Videolan, aber welcher Benutzer kommt schon darauf das das 5. Ergebnis bei Google das Adware-freie Original ist? Ist zur Zeit leider wieder so ne Welle die das trojaner-board überlaufen lässt, weil die Deinstallation natürlich nicht den gewollten Erfolg bringt.

[KeeperOfCoffee]

Irgendwie werde ich nicht das Gefühl los, als ob du uns was verkaufen willst

[Chief Wiggum]

vor 1 Stunde schrieb KeeperOfCoffee:

Irgendwie werde ich nicht das Gefühl los, als ob du uns was verkaufen willst

Wie kommst du denn darauf? Also wirklich...

vor 5 Stunden schrieb turingtest:

Die Macros sind bei mir in Office standartmäßig aus

Man braucht ja auch keine Office-Macros. https://www.golem.de/news/buerosoftware-angriff-durch-office-dokumente-ohne-makros-1704-127270.html

Ich denke aber, dass nicht unsere Rechner (bzw. die Rechner von Otto Normaluser) einer hohen Gefährdung ausgesetzt sind. Ich möchte hier nur mal das Thema IOT ansprechen und die Unsicherheit der entsprechenden Geräte: https://www.golem.de/news/mirai-iot-botnet-ip-kamera-nach-98-sekunden-mit-malware-infiziert-1611-124602.html

[turingtest]

IOT Security ist natürlich auch ein interessantes Thema, aber auf den IOT Geräten läuft in der Regel keine AV Software.

Wobei ich bezweifle das die viel bringen wird wenn die Geräte root logins mit hart-codierten Passwörtern haben. Oder von den Herstellern nicht mit Ptaches versorgt werden. Zu dem sieht es mit dem Thema Verschlüsselung im Bereich IOT auch eher mau aus.

Und ich hab bis zum Aufkommen vom Thema IOT immer gedacht der Umgang der Handyhersteller mit dem Thema Sicherheit wäre erschreckend.

[Tician]

Ich weiß nicht wie du auf IOT kommst, ja klar es ist ein interessantes und auch aktuelles Thema zur Sicherheit, aber eigentlich wollte ich hier im speziellen bei AVs bleiben

vor 14 Stunden schrieb KeeperOfCoffee:

Irgendwie werde ich nicht das Gefühl los, als ob du uns was verkaufen willst

*ironie on* Verkaufen? Achwas, du hast doch schon lange etwas zugeschickt bekommen, die Rechnung kam per E-Mail, also bitte den Rechnungsanhang öffnen und direkt überweisen *ironie off*

[Chief Wiggum]

vor 2 Minuten schrieb Tician:

Ich weiß nicht wie du auf IOT kommst, ja klar es ist ein interessantes und auch aktuelles Thema zur Sicherheit, aber eigentlich wollte ich hier im speziellen bei AVs bleiben

Was nutzt dir ein AV auf deinem PC / Notebook, wenn dein lokales Netz durch dein ungeschütztes IOT-Krams verseucht ist?

Virenschutz ist nicht nur auf das einzelne Gerät zu beschränken sondern muss als Ganzes betrachtet werden.

[Tician]

Dann klär mich unwissenden Azubi doch bitte auf

Was ist denn das "Ganze" des Virenschutz? Was kann ich als USER (nicht als Admin) tun um meinen IOT-Kram zu schützen?

Und ist es wirklich meine Aufgabe oder die der Hersteller? Bin ich schuld wenn meine Kamera teil eines Botnetzes wird?

Ich habe ja keine speziellen Fälle angegeben, in deinem Fall würde ich behaupten das ein AV meinen lokalen PC schützen soll und eher weniger mit meinem Netzwerk (und dementsprechend auch mit dem IOT) zu tun hat - oder liege ich falsch?

[Tehrob]

Viele IOT Besitzer ändern z.B. keine oder nur wenige Standardkonfigurationen. Beispiel: Benutzer Pi beim Raspberry mit raspbian.

 

[Crash2001]

vor einer Stunde schrieb Tician:

[...]Was ist denn das "Ganze" des Virenschutz? Was kann ich als USER (nicht als Admin) tun um meinen IOT-Kram zu schützen?[...]

• Standardlogins verändern
• nicht gewünschten Traffic blockieren (z.B. auf einer Firewall)
• keine Geräte "offen" ins Netz stellen (ohne Login - ist bei diversen Geräten so möglich)
• Die PC im eigenen Netz absichern, so dass sie nicht angreifbar sind (unnötige Freischaltungen vermeiden, Passwörter verwenden, Updates aktuell halten, eventuell AV-Produkte einsetzen, ...)
• Nicht benötigte Geräte ausschalten (oder die Netzwerkverbindung trennen), so dass sie nicht angegriffen werden können.
• Sich über aktuelle Bugs bei den eingesetzten Produkten informieren und falls möglich die Firmware updaten.
• Falls möglich Verschlüsselungen verwenden für Verbindungen (z.B. verschlüsselte IMAP / POP3-Verbindung)
• ...

[Gast Youkai]

Naja, das Problem mit den standartlogins könnten die hersteller ja vermutlich auch "leicht" lösen indem nutername und password bei jedem gerät random erstellt werden und auf die anleitung drauf gedruckt werden oder beim ersten anmelden ein fenster kommt von wegen "Sie müssen Nutername und Passwort ändern" problem dann nur das es so unglaublich viele menschen gibt die nicht in der lage sind sich ein login zu merken.

Updates kann man halt automatisch erzwingen aber da sind wieder viele sehr sauer ... und wenn dann mal was schief geht könnte es problematisch werden.

Aber man könnte das fast alles automatisieren und sicherer machen.

 

Zum Thema AV würd ich sagen "es kommt darauf an"

Wenn man nicht wirklich wichtige dinge hat die man nicht gesichert hat und gern mal auf unsicheren seiten unterwegs ist schadet es sicher nicht obwohl es da ja auch große unterschiede gibt. Ich hatte damals mal tests gemacht mit diversen AV programmen da hatten wird extra eine reihe PCs neu aufgesetzt verschiedene AV Programme installiert und die pcs erst einfach nur so mit deaktivierter firewall ans netz gehangen ohne irgendwelche seiten zu öffnen ... das war schon nicht so wirklich dolle ging aber, danach hatten wir die pcs bewusst mit viren infiziert also die AV Prorgamme ausgeschaltet bis viren drauf waren und die wieder an gemacht.

Mein Favorit ist damit zum beispiel gar nicht klar gekommen weil der versucht Viren vom PC fern zu halten und nicht diese nachdem man sie bereits hat wieder zu löschen ! (Avast!) wobei andere AV Programme damit teils weniger Probleme hatten oder teils gar nicht mehr eingeschaltet werden konnten weil die Viren sich sofort dran gemacht haben die Programme unschädlich zu machen.

 

Bei meinem Vater und anderen bekannten hab ich tatsächlich nach installation von W10 auch nurnoch die mitgelieferten lösungen am laufen, selbst nutze ich aber dann doch noch Avast! einfach aus gewohnheit ^^V

[Chief Wiggum]

Am 24.5.2017 um 09:43 schrieb Tician:

Was ist denn das "Ganze" des Virenschutz? Was kann ich als USER (nicht als Admin) tun um meinen IOT-Kram zu schützen?

Du solltest dir einfach bewusst sein, dass jedes Gerät, das zu Hause in deinem kuschelig-gemütlichen Netz aktiv ist ein potentielles Einfallstor für Viren und anderes Ungeziefer sein kann. Es ist in meinen Augen sinnfrei, sich um einen Virenschutz für den vorhandenen PC Gedanken zu machen, während sich gleichzeitig der Kühlschrank, die WLAN-Lautsprecher und die WLAN-Überwachungskamera an der Haustür um die Bandbreite des lokalen Netzes streiten, um ihre Botnetz-Aufgaben zu erledigen.