Antivirensoftware steht im Verdacht, mehr Schaden anzurichten, als sie nutzt. Sollte man sie abschalten?

TR: Der ehemalige Firefox-Entwickler Robert O’Callahan hat viel Aufsehen in sozialen Medien erregt, als er kürzlich PC-Usern riet, ihre Antivirensoftware abzuschalten. Denn mit dieser Software wären ihre Computer weniger sicher als ohne. Ich vermute, diese Einschätzung hat Sie nicht überrascht?

Matthias Luft: Nein. Die Erkenntnis ist nicht neu. Solche Warnungen tauchen in regelmäßigen Abständen im Netz auf. Ich kann das verstehen, auch wenn ich selbst diese Aussage stärker differenzieren würde.

Sie haben sich selbst mit der Sicherheit von IT-Sicherheitsprodukten beschäftigt. Was waren die Ergebnisse?

Wir haben uns hauptsächlich mit der Sicherheit von Appliances beschäftigt. Das sind im Prinzip Boxen mit spezieller Software, die man in seinem Netzwerk installiert, und die dort als Firewall, Virenscanner oder Content-Filter arbeiten. Schwachstellen haben wir eigentlich überall gefunden. Die Frage war nur, wie gravierend die Schwachstellen waren.

Diese Erfahrungen lassen sich sicherlich auch auf Antivirensoftware übertragen. Man muss nun unterscheiden, ob diese Probleme daraus resultieren, dass das Produkt einfach schlampig gemacht ist, oder ob es sich um prinzipielle Probleme handelt.

Was waren prinzipielle Probleme?

Solch eine Sicherheits-Appliance muss per Definition Daten verarbeiten, die nicht vertrauenswürdig sind. Das ist ja ihre Aufgabe. Dazu kommt, dass die Operationen, die sie durchführen muss, sehr komplex sind. Außerdem muss Sicherheitssoftware im Netzwerk eine privilegierte Position haben. Ein Virenscanner muss zum Beispiel Zugriff auf sämtliche Dateien haben. Das ist eine sehr unschöne Kombination.

Nun gibt es aber Dinge, die Hersteller tatsächlich schlecht machen. Wenn ich nicht vertrauenswürdige Daten analysiere, müsste ich das beispielsweise in einem isolierten Speicherbereich machen, einer Sandbox. Wenn ich damit fertig bin, lösche ich diese Sandbox wieder. Das ist ein Aufwand, den nicht alle Hersteller treiben.

Wer fällt positiv auf?

Microsofts eigene Antivirensoftware ist zum Beispiel eine Ausnahme. Die ist unter Sicherheitsgesichtspunkten sehr sauber aufgebaut.

Inwieweit sind solche Sicherheitslücken ein praktisches Problem?

Es gibt einen Schwarzmarkt für Sicherheitslücken, und dort werden auch immer wieder Sicherheitslücken in Antivirensoftware angeboten. Ende letzten Jahres hat die Hackergruppe Shadow Broker zudem Angriffswerkzeuge veröffentlicht, die unter anderem angeblich von der NSA verwendet werden. Darunter auch ein Tool, das Schwachstellen in einer Firewall nutzt.

Die größten Sicherheitsprobleme verursachen aber immer noch Phishing-Mails und Dinge, die einfach aus dem Internet heruntergeladen werden. Aber das kann sich jederzeit ändern.

Was raten Sie also Ihren Kunden?

Endnutzern raten wir im Moment auf jeden Fall, Antivirensoftware zu nutzen. Bei Firmen muss man das differenzierter sehen.

Wie reagieren die Hersteller, wenn Sie eine Sicherheitslücke finden?

Wir verfolgen da immer den Ansatz des sogenannten „responsible disclosure“, das heißt, wir melden die Lücke an den Hersteller. Der hat 90 Tage Zeit, das Problem zu beheben, danach veröffentlichen wir es. Das machen wir seit Jahren und haben damit in der Regel positive Erfahrungen. Letztes Jahr hatten wir allerdings ein Problem, weil FireEye uns verklagt hat, damit wir Teile der Ergebnisse unserer Untersuchungen nicht veröffentlichen.

Also ein Maulkorb?

Wir haben uns außergerichtlich geeinigt, inklusive strenger Auflagen, wie wir darüber sprechen dürfen. Interview: Wolfgang Stieler