Falscher Firewall-Alarm?

Meine Firewall von F-Secure blockiert ständig Verbindungsversuche des Programms SearchProtocolHost.exe. Dieses ist im System32-Ordner abgelegt, Löschversuche verhindert Vista. Stellt es ein Sicherheitsrisiko dar?

Vista enthält eine Systemdatei namens SearchProtocolHost.exe, die den Festplatteninhalt indexiert und dadurch Suchvorgänge beschleunigt. Allerdings könnte es sich bei einer Datei dieses Namens auch um einen als Systemdatei getarnten Schädling handeln. Sie sollten die Datei deshalb von Ihrem Virenscanner überprüfen lassen oder – was mehr Gewissheit bringt – bei virustotal.com hochladen, wo sie von rund drei Dutzend Scannern durchleuchtet wird. Falls diese keinen Alarm schlagen, dürfen Sie davon ausgehen, dass die Datei nicht bösartig ist.

Das Beispiel illustriert das grundsätzliche Problem von Firewalls, die neben der ankommenden auch die abgehende Kommunikation filtern: Heutzutage sucht fast jedes Programm nach Updates oder zapft Online-Datenbanken an, greift also mit guten Absichten auf das Netz zurück. Firewalls sind jedoch nicht dazu in der Lage, die Legitimität von Verbindungsversuchen einzuschätzen. Vielmehr reagieren sie mit kryptischen Warnungen, mit denen selbst Windows-Experten selten etwas anfangen können. Und das Schlimmste daran ist: Selbst die Blockade der gesamten abgehenden Kommunikation garantiert keinen dichten Rechner oder ersetzt gar einen Virenscanner. Die notwendigen Ausnahmeregeln für den Browser und E-Mail-Client bieten genug Spielraum, gezielt Informationen herauszuschmuggeln. Sinnvoller ist es also, lediglich den unerwünschten Verkehr von außen abzuwehren, wie es beispielsweise die Windows-Firewall seit dem zweiten XP-Service-Pack zuverlässig erledigt. (ju)