Ex-Firefox-Entwickler rät zur De-Installation von AV-Software
Eine aus Frust motivierte Tirade erlaubt den seltenen Blick hinter die Kulissen eines Projekts, das sich vor allem auch der Sicherheit verschrieben hat – dem aber aus unerwarteter Richtung immer wieder Knüppel zwischen die Beine geworfen werden.
Der Ex-Firefox-Entwickler Robert O'Callahan schreibt sich den angestauten Frust von der Seele und rät Anwendern, keine Antiviren-Software zu kaufen und falls sie schon welche haben, diese zu deinstallieren. Er macht dabei nur eine Ausnahme: Wer Windows benutzt, könne die AV-Software von Microsoft behalten.
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist. Doch O'Callahans Begründung ist durchaus spannend, beschreibt sie doch ein Problem, das seit vielen Jahren brodelt, aber in aller Regel unter einer Decke gehalten wird. Einen ersten Eindruck davon bekommt man, wenn man etwa Tavis Ormandys Veröffentlichungen zu Sicherheitsproblemen in AV-Software verfolgt. Die zeugen nämlich regelmäßig von haarsträubenden Qualitätsproblemen der AV-Software – gerade was die eigene Sicherheit angeht.
Crashes, Bugs und Lücken
O'Callahan hat eine andere Perspektive. Er beschwert sich aus Entwicklersicht darüber, wie Antiviren-Software während seiner aktiven Zeit bei Mozilla immer wieder selber Sicherheitsprobleme verursacht habe oder der Umsetzung von effektiven Schutzmechanismen im Wege stand. Unterstützung erhält er dabei ausgerechnet von Justin Schuh, der bei der Konkurrenz an Chromes Security arbeitet und kürzlich ebenfalls eine kritische Analyse der Rolle von AV-Software veröffentlichte.
Die beiden berichten etwa, dass AV-Software die Auslieferung kritischer Security-Updates behinderte oder die konsequente Umsetzung von ASLR mit Ausnahmen konterkarierte, was dann Schadprogramme ganz konkret ausnutzten, um der Sandbox zu entkommen. Kaputte Man-in-the-Middle-Module brechen die Sicherheit von TLS und so weiter und so fort. Darüber hinaus ginge eine signifikante Menge an Arbeitszeit der Entwickler allein dafür drauf, Crashes und andere Qualitätsprobleme zu lokalisieren und zu beheben, für die letztlich AV-Software verantwortlich ist. Arbeitszeit, die man besser in die Umsetzung von Security-Projekten investieren könnte.
Erzwungenes Schweigen
In aller Regel höre man von solchen Problemen nichts, weil es sich kein Software-Hersteller leisten könne, sich mit den AV-Herstellern anzulegen. Denn letztlich seien alle auf deren Kooperation und guten Willen angewiesen – etwa um die durch die AV-Software verursachten Probleme wieder aus der Welt zu schaffen. Und angesichts der den AV-Firmen von Anwendern zugeschriebenen Security-Kompetenz können Software-Firmen auch nicht riskieren, dass AV-Hersteller die Software schlecht machen könnten. Also treffe etwa frustrierte und aufmüpfige Entwickler regelmäßig der Bannstrahl der eigenen PR-Abteilung. Das ist offenbar auch O'Callahan 2012 so ergangen, weshalb er das Thema erst jetzt, mehrere Jahre nach seinem Ausscheiden bei Mozilla wieder aufgreife.
Die von ihm gemachte Ausnahme für Microsofts AV-Software begründet O'Callahan damit, dass bei Microsoft anders als bei den meisten AV-Herstellern die Entwickler in aller Regel in Security-Fragen kompetent seien. Das ist übrigens eine Einschätzung, die man in Security-Kreisen nicht selten hört.
Die unterschiedliche Gewichtung von AV-Software bestätigt übrigens auch eine von Google bereits 2015 veröffentlichte Umfrage zu den wichtigsten Sicherheitsmaßnahmen. Während die als Nicht-Experten klassifizierten Anwender den Gebrauch von AV-Software oberste Priorität gaben, tauchte diese in den Top-Fünf der Security-Experten nicht einmal auf.
Aber vielleicht erledigt sich das Problem auch von selber. Seit Windows standardmäßig vollwertige AV-Software mitbringt, ist der Bedarf in diesem Bereich deutlich gesunken. Schließlich ist damit zumindest eine Grundsicherung gegeben. Und viel mehr darf man von einem Konzept, das versucht, automatisiert Böses zu erkennen und zu sperren, ohnehin nicht erwarten. Selbst bei AV-Herstellern dämmert die Erkenntnis, dass die goldene Zeit vorbei ist: Symantec erklärte Antivirus-Software bereits für tot. Sie stirbt jedoch sehr langsam, denn das war bereits 2014. (ju)