Kein Virenscanner? Um Himmels Willen!
Ich durfte kürzlich einem Gespräch beiwohnen, bei dem ein regionaler IT-Dienstleister seine Leistungen und Dienste bewerben konnte. Klassisches Aus-einer-Hand-Angebot rund um Netzwerk-, Computer- und Überwachungstechnik. Eine bestimmt solide, bewährte, mittelständische Firma mit einem ordentlichen Kundenportfolio, am Markt seit rund 30 Jahren.
Beschreibt sich selbst in der Firmenpräsentation als "Partner" u.a. von Microsoft, Cisco, Sophos et al. Nach dieser Partner-Folie endete mein persönliches Interesse, aber es ging in dem Meeting nicht um meine Präferenzen oder die der Firma, für die ich arbeite, sondern um einen unserer Kunden. Der hat eine spezielle Anforderung, die wir nicht erfüllen können und wollen - besagter IT-Dienstleister hingegen schon.
Nach der erfreulich kompakten Präsentation der IT-Firma lautete eine der ersten Fragen des Vertriebsmitarbeiters: "Welchen Virenscanner setzen Sie ein?" Er meinte uns, nicht unseren Kunden, um den es eigentlich gehen sollte.
Ich war etwas irritiert, da das Meeting (zumindest von unserer Seite) wirklich eine ganz andere Zielsetzung hatte als dass uns irgendwelche Virenscanner verkauft werden. Aber ich antwortete sinngemäß, dass bei uns verschiedene Systemarchitekturen zum Einsatz kommen und Virenscanner keine große Rolle spielen, weil wir sie in unserem speziellen Umfeld nicht für relevant halten. Das spornte den Vertriebsmitarbeiter direkt an: "Ganz schlechte Idee!". Es entwickelte sich eine Diskussion, die ich schon oft führen musste.
Generell sind Virenscanner aus meiner Sicht eher ein Problem als eine Lösung. Ich formuliere es mal überspitzt: Um den I-Love-You-Virus aus Y2K zu stoppen, taugt so ein Scanner sehr gut. Denn der Virus ist bekannt, er lässt sich problemlos identifizieren und beseitigen. Aber für solche Zwecke brauche ich keinen sauteuren Virenscanner der führenden Schlangenöl-Beschwörer auf dem PC, da reicht mir ein ClamAV auf dem Mailserver, der kann das auch.
Spannender wirds, wenn Viren marodieren, die neu sind und noch nicht in Datenbanken für bekannte Schädlinge stecken. Da versagen die meisten Scanner völlig, Heuristiken hin oder her. Eher noch gibt es jede Menge False Positives, die unnötig Panik verbreiten.
Noch spannender wirds, wenn Social Engineering/Spearphishing betrieben wird, und Menschen von sich aus Daten preisgeben, mit denen sich dann Schäden anrichten lassen. Da pfeift der Virenscanner besonders entspannt ein lieblich Lied und säuselt "I han nix geseht, war keim Viros!".
Am Spannendsten wirds, wenn sich herausstellt, dass die Virenscanner selbst das Einfallstor für Schadsoftware sind. Denn prinzipbedingt haben diese Scanner die größtmöglichen (administrativen) Rechte innerhalb des Systems und können auf Wunsch einfach alles kaputt machen. Müssen sie ja im Zweifel, wenn ihre Mission ist, Schädlinge zu beseitigen, die sich tief im System eingenistet haben. Deshalb sind Virenscanner auch sehr interessante Zielobjekte für Schadsoftware. Und das buchstäblich schon seit Jahrzehnten.
Mal ganz davon abgesehen: Virenscanner haben die kontraproduktive Eigenschaft, dass sie Leute dazu verleiten, unvorsichtig zu werden im Umgang mit unbekannten Dateien: "Der Virenkiller wird's schon abfangen, wenn ich aus Versehen mal was anklicke, ohne genauer hinzuschauen!!11"
Vom potenziellen Datenschutzdrama, das sich durch einen omnipotenten Scanner ergibt, der den gesamten Computer durchschnüffelt, will ich an der Stelle gar nicht reden.
Lustigerweise traut eigentlich niemand bei einem vermuteten Befall einem Virenscanner die zuverlässige Entfernung der Schädlinge zu, sondern der Rechner wird lieber komplett plattgemacht - in der Hoffnung, dass nicht das Bios oder andere, dem Betriebssystem übergeordnete Komponenten wie die berüchtigte Intel Management Engine infiltriert wurden.
Aber dem Vertriebsmenschen, dessen Ziel es ja ist, sauteure Sicherheitspakete zu verkaufen, brauche ich das alles nicht zu erklären. Selbst wenn er sich persönlich überzeugen ließe - seine Mission ist ja, und da kann ich ihm keinen Vorwurf machen, das Verkaufen.
- Ich persönliche sehe das Geld bzw. die Zeit, die man der Schlangenölbranche in den Schlund stopfen würde, besser in entsprechende Mitarbeiterschulungen investiert, damit die angemessen misstrauisch gegenüber fremden Daten und Geräten sind.
- Und Ad- und Skriptblocker sowie die Nutzung moderner, unabhängiger Browser sind auch nicht verkehrt, denn ein wesentliches Scheunentor für Bösartigkeiten ist das Web.
- Und Mails, die wilden HTML-, Style- oder Skript-Schrott enthalten, der nicht unmittelbar der sinnhaften Kommunikation dient, gehören pauschal weggefiltert oder entschärft.
- Und eine angemessen konfigurierte Firewall am Netzwerk kann noch zusätzlich für Beruhigung sorgen, wenn man den Mitarbeitern misstraut und verhindern will, dass sie ihre private Kommunikation im GMX-Webmail während der Arbeitszeit abwickeln.
Mit diesen wenigen Maßnahmen hat man (behaupte ich aus Erfahrung, ohne es akkurat belegen zu können) den größten Teil der Angriffsszenarien im modernen IT-Arbeitsplatzumfeld (clientseitig) neutralisiert. Was dann wiederum server- oder netzwerkseitig passiert, ist ein anderes Thema.
Reduktion der Angriffsfläche, inbesondere im Gehirn der Mitarbeiter, ist wahrscheinlich auch spätestens mittelfristig um Größenordnungen billiger als irgendwelche lokalen Sicherheitsvorfälle verarbeiten zu müssen oder zig Arbeitsplatzlizenzen für Virenscanner zu abonnieren.