Warum AV nicht funktioniert

Heute sammle ich einige Gedanken hinsichtlich Schlangenöl (und stelle diese auch vor – heute mal wirklich ausführlich…).
Meine These:
Antiviren-Software taugt nicht als System zum Schutz unserer IT-Systeme und damit unserer Daten.

Was Schlangenöl kann… nicht!

Zunächst einmal betrachten wir kurz, was AV – besser deren Hersteller – uns versprechen zu tun; vor welchen Gefahren sie uns bewahren wollen.
Dieser Leistungsumfang – so ist mein Eindruck – geht mittlerweile weit über das klassische Virenscannen hinaus.
Ich schwanke an dieser Stelle schon zwischen den Gedanken

  • Schuster, bleib bei deinen Leisten.” und
  • Aha, ham se jetzt doch erkannt, dass AV nicht mehr der cybertechnischen Weisheit letzter Schluss ist?

Also, hier meine unvollständige Liste der vollmundigen Versprechungen, die uns die Schlangenölhersteller offerieren:

  • Schutz vor Ransomware
  • Schutz vor Zero-Second (es reicht hier augenscheinlich nicht mehr, von Zero-Day zu sprechen – es muss hier in Ich-hab-aber-den-Längeren-Manier noch einer draufgelegt werden) Angriffen
  • Auto-Updater
  • Daten-Shredder
  • Sichere Zahlungen
  • Passwort-Manager
  • Anti-Spam
  • Firewall
  • Verhaltensschutz
  • Blocking microfone and webcam access (Kaspersky): same shit as Samsung-TVs – wenn du den Bösen blocken willst, musst du immer überwachen
  • Regulate the use of apps and check your childs location (überwachung pur!)

Na, da bieten die Schlangenölverkäufer doch fast die eierlegende Wollmilchsau an – es fehlt eigentlich nur noch, dass es auch das Auto waschen und die Hausaufgaben der Kinder kontrollieren kann.
Aber was nicht ist kann ja noch werden.
Wenn ich mir diesen Wust an versprochenen Funktionalitäten und dysfunktionalen Versprechungen betrachte, fühle ich mich an Smartphones erinnert:
Die versuchen sich auch an jeder möglichen und unmöglichen Funktion – und scheitern grundsätzlich an allem.
Ganz besonders an ihrer Grundfunktionalität:
der Telefonie.
Wenn man alles tun will, erreicht man im Endeffekt – gar nichts.
Ich will hier jedoch kein Marketing-Bashing betreiben – Werbung ist immer übertrieben.
Aber für mich ist die Grenze erreicht, wo es von schlichter Übertreibung zur Gefährdung der Anwender eines Produktes kippt.
Und ich sehe bei Schlangenöl diese Grenze als überschritten an.
Schlangenöl übertreibt nicht einfach nur, was es alles an Leistungen bietet – nein, der Einsatz von AV auf einem Computersystem schwächt dieses System und gefährdet damit den Anwender.

Was Schlangenöl anderen überlassen sollte

Ausgehend von der Liste der mannigfaltigen Versprechungen der Schlangenölbranche liefere ich jetzt sinnvolle und bessere Alternativen zu den einzelnen großspurigen Versprechungen der Alles-aus-einer-Hand-Lösungen.

  • Daten-Shredder:
    Um Daten sicher – und unwiderbringlich – zu löschen, brauchen wir uns nicht in die Hände der Schlangenölbranche zu werfen.
    Es gibt für diesen Anwendungsfall dedizierte Lösungen, die diese Aufgabe schnell, effektiv und ohne den unnötigen Overhead einer Alles-in-Einem-Anwendung erledigen.
    Unter Windows empfehle ich hier DBAN (Darik’s Boot and Nuke)
    Für macOS und Linux können wir shred und wipe einsetzen.
  • Sichere Zahlungen:
    Was wollen die Schlangenöler hier eigentlich anbieten?
    Das ist auch ein weiterer Punkt, der mich ungemein ärgert:
    Der Nutzer einer AV-Suite wird dumm gehalten.
    Anstatt zu erklären, worauf es denn bei sicheren Zahlungen im Internet ankommt – nämlich eine geschützte HTTPS-Verbindung mit einem gültigen und vertrauenswürdigem Zertifikat – verschleiert die AV-Lösung dieses Wissen vor dem Anwender und spiegelt dem unbedarften Nutzer vor, die Sicherheit käme durch das Schlangenöl.
    Das ist aber nicht so.
    Für die Sicherheit sind die Shop-Betreiber bzw. die entsprechenden Banken und Finanzdienstleister verantwortlich.
  • Passwort-Manager:
    Das ist ein Anwendungsfall, den wir auf gar keinen Fall dem Schlangenölhersteller als Aufgabe übertragen wollen.
    Das wäre so, als würden wir einem dubiosen Sicherheitsdienst die Schlüssel zu unserem Haus, unsere Autoschlüssel, die Kreditkarten und unsere EC-Karte inklusive PIN überlassen.
    Ein Passwort-Manager ist eine derart sensible Angelegenheit, die vertrauen wir maximal einer eigenständigen, vollständig offenen und definitiv offline arbeitenden Anwendung wie KeePass/KeePassX an.
    Wenn wir unsere Passwörter einer “Rundum-Glücklich”-Lösung wie Schlangenöl anvertrauen, dann wissen wir schlicht und ergreifend nicht, was mit den Daten passiert.
    Schlangenöl ist Closed Source – wir können die Quelltexte nicht einsehen – und wir haben dadurch einfach keinen Einblick in das, was im Hintergrund mit unseren Daten geschieht.
    Darüber hinaus ist eine AV-Lösung dauerhaft mit dem Internet verbunden (ansonsten funktioniert das ganze Spiel nämlich nicht) und wir haben keine Kontrolle darüber, welche Daten wohin gesendet werden.
    Vertraue niemandem!
    Agent Mulder hat damit ja so recht.
  • Firewall:
    Eins haben inzwischen alle Hersteller von Betriebssystemen verstanden, nämlich die Notwendigkeit, dass eine Firewall Bestandteil des Betriebssystems sein sollte – und generell bereits ist.
    Ist es das nicht, lässt es sich einfach als eigenständige Lösung nachträglich installieren.
    Das ist einfach keine der Aufgaben, die von einer Schlangenöllösung übernommen werden sollte.
    Nehmen wir einmal den folgenden – gar nicht so weit hergeholten – Fall an:
    Ein System wird von AV (inklusive Firewall) “geschützt”.
    Ein Angreifer schafft es, diese AV ausser Kraft zu setzen (was oft einer der ersten Schritte ist, die ein Angreifer ausführt).
    Dadurch setzt der Angreifer die (quasi “integrierte”) Firewall ebenfalls ausser Kraft.
    Schade.
    Wäre die Firewall eine eigenständige Anwendung, hätte es der Angreifer bedeutend schwerer, diesen echten Schutzfaktor auszuschalten.
    Wenn der Angreifer die AV ausschaltet, ist die Firewall grundsätzlich mal nicht automatisch mit betroffen (es sei denn, es handelt sich eben nicht um eine eigenständige Lösung).
  • Anti-Spam:
    Der Schutz vor Spam-Mails ist ein weiteres Beispiel dafür, dass die Schlangenölhersteller (wie so viele andere auch) mittlerweile im Revier anderer Software-Hersteller wildern.
    Anti-Spam wird dort eingesetzt, wo Spam auftritt:
    Im Mailclient.
    Und dieser kümmert sich bestenfalls auch genau darum.
    Jeder Mailclient – sei es Outlook, Thunderbird oder welcher Mailclient auch immer den Postdienst versieht – er hat bereits die eine oder andere Anti-Spam-Implementierung eingebaut.
    Dafür brauchen wir keine Schlangenöl-Suite.
    Brauchen wir einfach nicht.
  • Verhaltensschutz:
    Achja, bei Verhaltensschutz muss ich irgendwie an die “No loitering“-Schilder denken.
    Verhaltensschutz wird zunehmend auch im Bereich Video-Überwachung getestet – und funktioniert dort ebenso schlecht wie beim Schlangenöl.
    Beim “Verhalten” ist eines der Hauptprobleme, dass “normgerechtes” Verhalten erst mal definiert und programmiert sein muss, um Auffälligkeiten im Verhalten zu erkennen.
    Und da fängt das Problem schon an.
    Was ist denn “normgerechtes” Verhalten (Bereich Video-Überwachung) eigentlich genau?
    Wenn jemand humpelt (sich also möglicherweise außerhalb der “Bewegungs-Norm” bewegt), gibt es dann Grund zur Sorge?
    Ist derjenige dann potenziell gefährlich?
    Vielleicht weil er schwer an seinem Bombenrucksack trägt, oder weil er ein Steinchen im Schuh hat?
    Oder doch, weil er (oder sie) sich im engen Schuhwerk Blasen gelaufen hat?
    Wenn jemand auf dem Boden sitzt, “loitert” er dann gerade (rechtswidrig) oder ruht er sich vielleicht nur aus?
    Und genauso verhält es sich mit Software.
    Was ist denn hier schon verhaltensauffällig, was ist noch normales Verhalten?
    Ich finde ja den Datenhunger von Anwendungen wie WhatsApp extrem verhaltensauffällig – dies sieht Schlangenöl jedoch anders.Und auch an anderer Stelle können wir etwas über “Verhaltensprüfung” lernen – Dieselgate.
    Die Softwaresteuerung von Dieselmotoren erkannte ganz zuverlässig, wenn diese sich im Prüfungsmodus befanden – und haben sich dann ganz unauffällig verhalten.
    Und wir können wohl annehmen, dass dies den Herstellern von Schadsoftware auch gelingt – und der Prüfung durch Schlangenöl ganz normgerechtes Verhalten präsentiert.
  • Webcam- und Microphone-blocking:
    Ja, jetzt wird’s ja ganz gruselig – nun will das Schlangenöl also das überwachen, was ich möglicherweise komplett verhindern will:
    Das ungewollte Ausnutzen von Webcam und Mikrofon.
    Das ist keine Funktion, die wir – ich wiederhole mich – einer Software überlassen, die Closed Source ist und dauerhaft am Internet hängt und wir nicht wissen, wann diese Daten überträgt und wohin.
    Bei SmartTVs klemmen wir diese Funktion ja auch vollständig ab – weil wir nicht wollen, dass wir rund um die Uhr abgehört oder beobachtet werden – und jetzt sollen wir diese Kontrolle einer Software überlassen, von der wir nicht wissen, was sie im Hintergrund so alles macht?
    Niemals! sage ich.Nochmals zur Erklärung:
    Damit eine Software mitbekommt, wann jemand – unberechtigt – Zugriff auf Funktionen meines Computers hat, muss diese Software die Funktion (in diesem Fall Webcam und Mikrofon) dauerhaft selbst überwachen.
    Das will ich nicht.
    Der beste Schutz vor Beobachtung durch meine Webcam ist es, diese einfach abzukleben.
    Ganz analog.
  • Kinder überwachen:
    Also, wenn ich damit anfange, die Anwendungen und Geräte meiner Kinder zu überwachen, warum dann nicht gleich so weit gehen und ihnen einen Chip implantieren?
    Das hat nichts mit Sicherheit zu tun – das ist neurotischer Überwachungswahn, erwachsen aus einem falsch verstandenen Wunsch, unsere Kinder vor Schaden zu bewahren.Aber so funktioniert das nicht.
    Mit diesem eklatanten Verstoß gegen die Privatsphäre unserer Kinder und einem kaum wieder gut zu machenden Vertrauensbruch treiben wir unsere Kinder mit einem derartigen Verhalten nur noch weiter von uns fort.
    Wir müssen Kinder begleiten und durch das Vorleben von beispielhaftem Verhalten zu selbstbewussten Nutzern digitaler Kommunikationsmittel erziehen.
    Wir dürfen sie nicht durch Angst und Misstrauen zu obrigkeitshörigen Sicherheitsfanatikern verbiegen.
  • Sandboxing
    Unter Sandboxing verstehen wir das Ausführen verdächtiger Dateien in einem geschützten Bereich – eben einer Sandkiste.
    Wir denken dabei nicht an eine Sandkiste im Kontext von Förmchen und Sandkuchen (auch nicht den Sandkuchen – verfressene Bande!).
    Sondern wir stellen uns dabei eine Sandkiste im Hinblick auf Blindgänger und Entschärfung von illegalen Feuerwerkskörpern vor.
    Kra-Wumm! eben.
    So eine Sandkiste haben wir im Hinterkopf, wenn wir von “Sandboxing” reden.
    Das Sandboxing ist aktuell der neueste “heiße Scheiß” der Schlangenölbranche – und war ursprünglich als der Heilsbringer beim Schutz gegen Schadsoftware gedacht – und wurde dann in der Branche rumgereicht wie der heilige Gral.
    Dummerweise eben der schön verzierte, golden glänzende.
    Und wir wissen ja, was mit Walter Donovan passierte, als er vor Indiana Jones aus diesem Becher getrunken hat…
    Der heilige Gral der Schlangenölbranche – äh, moment, die Sandkastenspiele – haben vier Probleme.Raum, Zeit, interdimensionale Wurmlöcher und schlechte Laune.
    Nee, das jetzt nicht – also ist das zumindest noch niemandem auf die Füße gefallen.Das erste Problem von Sandboxing ist die Erkennung von Malware, die ich in der Sandbox detonieren will (das heißt wirklich so – kein Spaß).
    Wir können ja schließlich nicht alles erst in der Sandbox ausführen, um bei 95% der Dateien festzustellen, ah ja, alles in Ordnung.
    Pack deine Förmchen zusammen, raus aus der Sandkiste, genug gespielt – die nächste Datei bitte.
    Also brauchen wir hier wieder – ja, richtig – eine Verhaltenserkennung.
    Und die ist nachgewiesener Maßen miserabel.
    Was zur Folge hat, dass wir entweder mehr Dateien prüfen müssen (kostet Zeit) oder uns Schadsoftware durchrutscht (kostet auch Zeit – nur eben etwas später – und unsere Daten).
    Beides blöd.Das zweite Problem dabei ist, dass Schadsoftware erkennt, dass es in einer Sandkiste spielen soll.
    Und was macht die Schadsoftware?
    Ist ja nicht blöd, hat sich vorher mit seinen Kumpels über Dieselgate unterhalten und versteckt sein schadhaftes Verhalten (und grinst dabei schändlich).
    Ergo, Sandkiste bringt wieder nix.
    Und das dritte Problem – so eine Sandkiste ist eben auch nicht vollkommen sicher.
    Da fliegen beim Bomben entschärfen schon mal Splitter aus der Sandkiste raus – da will man am liebsten möglichst weit entfernt sein, sonst kann das böse ins Auge gehen.
    Und solches Verhalten (Ausbüchsen aus der Sandkiste, “Splitterwirkung” und ähnliches) kann Schadsoftware mittlerweile auch.
    Und nicht nur Splitterregen.
    Sicherheitsforscher haben mittlerweile erfolgreich den Ausbruch von Schadsoftware aus einer Sandbox nachgewiesen.
    Und dann ist die Schadsoftware halt mal ganz eifrig in unserem ganzen System zugange.Das verheerendste Problem von Sandboxing sitzt jedoch vor dem Computer.
    Der Anwender.
    Dieser lässt sich nämlich gestützt von der Fehlannahme, er sei jetzt durch eine Sandbox vor den schadhaften Auswirkungen von Malware geschützt, zu unsicherem und nachlässigen Verhalten verführen.
  • Auto-Updater
    Ach, seufz.
    Was für eine hanebüchene Idee (vermutlich mal wieder der Bequemlichkeit wegen).
    Ein Autoupdater.
    Für alle Programme.
    Da kann ich mir gar nicht vorstellen, was da schief gehen soll.
    Zum einen legt dieses Vorgehen wieder zuviel Macht in eine Hand.
    Warum soll jetzt meine AV-Suite entscheiden, wann die Software auf meinem System aktualisiert wird?
    Das sollen die Programme selbst erledigen – die wissen am Besten, wann eine neue Version erschienen ist.
    Zu behaupten, AV könne dies schneller erledigen als die Hersteller der jeweiligen Programme, muss zwangsläufig gelogen sein, wer könnte dies wohl besser als der Hersteller ???”Mit dem automatischen Software Updater sind Sie den neuesten Updates Ihrer anderen Apps voraus.” – Avast- das ist einfach eine vollkommen lächerliche und haltlose Werbelüge.
    Was ist, wenn die AV plötzlich einfach böse wird und schlicht behauptet, es gibt keine Updates für meine Programme?
    Oder plötzlich gefälschte Updates verteilt?
    Man würde dies als Anwender spät – oder gar nicht bemerken.

Ich habe mehrfach als Alternative zu einigen Ideen der Schlangenölbranche dedizierte Lösungen empfohlen.
Dies hat natürlich zur Folge, dass wir Bequemlichkeit einbüßen – aber wir gewinnen viel mehr dafür.
Wissen und Kenntnis.
Und das sind die wahren Waffen, die uns im Kampf gegen Schadsoftware helfen.

Das System ist kaputt – vergiss das System

Was aber sind die grundlegenden Probleme, weshalb Antiviren-Software nicht funktioniert?
Ich breche es auf die folgenden sieben Punkte herunter – die sieben Systemschäden.

  1. Signaturbasiert erkennt nur Bekanntes
    Klassischerweise erkennt Schlangenöl Schadcode dadurch, dass diese Schadsoftware von AV-Herstellern entdeckt wurde.
    Daraufhin bekommt dieser Schadcode eine Signatur – einen eindeutigen Identifikator.
    Diese Signatur wird an die Anwender des Antivirenprogramms per online-update verteilt, etwa zwei- bis viermal täglich.
    Damit sind die AV-Programme in der Lage, neu entdeckte Schadprogramme zu erkennen.
    Und das ist das Problem.
    AV erkennt nur Bekanntes.
    Eine Schadsoftware muss als solche erkannt und katalogisiert werden – alle anderen Verfahren (Verhaltensbasiert und Heuristiken – also Berechnungen von möglicher Schadhaftigkeit) sind einfach zu ungenau und führen entweder zu Fehlalarmen oder lassen Schadcode unerkannt passieren.
  2. Signatur-Updates sind zu langsam
    Dieses Problem hängt mit dem ersten Problem von AV zusammen.
    Die Zeitspanne zwischen Entdeckung einer neuen Schadsoftware und der Verteilung neuer Signaturen ist viel zu groß.
    Selbst im theoretischen kurzen Update-Intervall von zwei Stunden ist diese Zeitspanne lang genug, um selbst vermeintlich AV-geschützte Systeme mit dieser neuen Schadsoftware zu infizieren.
    Wir müssen im Hinterkopf behalten, wir bewegen uns im Internet.
    Ein weltumspannendes Netzwerk von Computernetzwerken, in welchem Daten in Sekunden übertragen werden können.
    Und dies nutzen die Hersteller von Schadsoftware aus.
    Erkannt wird ihr Schadcode (früher oder später).
    Aber der kurze Zeitraum zwischen Erkennen der Schadsoftware, Erstellen der Signatur und Update reicht aus für eine Infektion.
  3. Codesigning ist auch keine Lösung
    Codesigning – das “Unterschreiben” von Software – ist eine weitere angebliche Wunderwaffe der Software-Hersteller.
    Dabei soll sichergestellt werden, dass geprüfter und schadsoftwarefreier Code durch eine “Unterschrift” im Quelltext als sicher eingestuft wird.
    So eine im Quelltext signierte Software wird von AV besonders wohlwollend betrachtet und nahezu ungeprüft durchgewunken.
    Leider wurde das System Codesigning schon erfolgreich gebrochen.
    Dabei wurde unter einer gültigen Signatur Schadsoftware verteilt.
    Und damit hebelt man das System AV vollständig aus.
  4. Schlangenöl ist Software
    Und Software schwächt das System.
    Klingt fies, ist es auch.
    Aber wir müssen immer im Auge behalten, dass jede Software Fehler hat.
    Und Fehler werden von Angreifern ausgenutzt, um Schadsoftware in das angegriffene System zu bringen.
    Je mehr Software wir auf unserem System haben, desto mehr Angriffspunkte geben wir preis.
    Und AV ist ein Softwareprodukt.
    Und dieses enthält eben auch Fehler.
    Und AV hängt dauerhaft im Internet und bietet dadurch noch mehr Angriffspunkte.
    Und je umfangreicher die Funktionalität der AV-Suite wird, desto mehr Fehler enthält sie und desto größer ist die Angriffsfläche.
  5. Systematischer Fehler “always on”
    Die notwendige dauerhafte Verbindung ins Internet, um stets die aktuellsten Signatur-Updates zu bekommen, ist ein systematischer Fehler bei AV-Programmen.
    Diese dauerhafte Verbindung führt selbst bei (gerade aufgrund von hohen Sicherheitsanforderungen explizit vom Internet getrennten) Systemen zu Angriffsszenarien.
    Denn selbst bei solchen “airgapped” genannten Systemen gibt es oftmals – in Hinblick auf die erhöhten Sicherheitsanforderungen – Ausnahmen für Schlangenöl.
    Denn Schlangenöl bringt gar nichts mehr – das wissen die Anwender – wenn die Signaturen veraltet sind.
    Also darf – selbst bei airgapped Systemen – AV dauerhaft am Internet nuckeln.
    Und dieses Schlupfloch wird ausgenutzt – nicht etwa, um Schadsoftware in das System zu bringen, sondern um vertrauliche Daten aus dem System zu stehlen.
    Herzlichen Glückwunsch, Schlangenölhersteller, da habt ihr die Sicherheit ja phänomenal erhöht.
  6. Wer online prüft, verliert – Daten
    Das jüngst bei dem Schlangenölhersteller Carbon Black aufgetretene Datenleck zeigt eine weitere Lücke im System AV.
    Carbon Black – und auch andere AV-Hersteller – laden verdächtige Dateien zur weiteren Prüfung in die große Datenwolke hoch.
    Solche cloudbasierten Prüfungen haben den immensen Vorteil, dass angemietete Rechenkraft die Prüfung deutlich beschleunigt.Und sie haben den irrsinnigen Nachteil, dass es einfach Rechner anderer Leute sind, die hierzu eingesetzt werden.Jetzt müssen wir nur noch in unserem vermeintlich hochsicheren System dafür sorgen, dass eine vertrauliche Datei, die ich stehlen will, als verdächtig eingestuft wird.
    Schon wird mir diese Datei quasi auf meinem Wolkenteller präsentiert, weil sie ja zur cloudbasierten Prüfung hochgeladen wird.
    Dort muss ich mir diese Datei nur noch abholen.
    Vielen Dank, liebe Schlangenölhersteller, jetzt muss ich bei meinen Zielpersonen gar nicht mehr in ihr System einbrechen – ihr liefert mir die Daten frei Haus.
  7. Es ist der Schlangenölbranche einfach egal
    Wie sagt es Quark bei Deep Space Nine so treffend:

    "Krieg ist gut fürs Geschäft."

Warum sollte die Schlangenölbranche denn an einer Lösung des Problems interessiert sein?
Solange das Problem Schadsoftware existiert, verdient die Schlangenölbranche mit.
Je mehr Schadsoftware, desto besser.
Und vielleicht stecken ja wirklich die Ferengi hinter der Schlangenölbranche.
Mit Angst lassen sich noch am besten Waffen verkaufen.

Was hilft – was nützt – was wirklich schützt

Ich gebe meinen Vorsatz, meine Artikel auf einer positiven Note enden zu lassen, nicht auf.
Heute wird es klappen; hier kommen einige Ideen, was uns wirklich schützen kann – ganz ohne Schlangenöl.

  • Weniger (Software) ist mehr (Sicherheit)
    Weniger Programme bedeuten eine geringere Angriffsfläche und dadurch eine erhöhte Sicherheit.
    Deswege empfehle ich programmatischen Minimalismus.
    Beschränk dich auf das Notwendigste, sicherheitsaffiner Leser!
  • Digitale Hygiene
    Accounts, die wir nicht benutzen, löschen wir.
    Was wir nicht haben … kann uns nicht schaden
    (Es reimt sich. Und alles, was sich reimt, ist gut!)
  • Uffpasse!
    Augen auf im Datenverkehr – und Hirn einschalten.
    Erst nachdenken, dann klicken.
    Unsere digitale Achtsamkeit ist der allerbeste Schutz unserer Daten und unserer digitalen Identität.
    Weiterbilden, lernen, nachfragen und verstehen – dies sind die wirksamsten Schutzschilde für uns.

Wer sich bis hierher durchgekämpft hat – Glückwunsch!
Meinem Versprechen, auf einer positiven Note zu enden, füge ich an dieser Stelle auch das Versprechen hinzu, mich künftig kürzer zu fassen.
(wers glaubt…)

TL;DR

  • Wunderbare Werbewelt: Was Schlangenöl alles kann – nicht!
  • Nicht deine Baustelle: Was Schlangenöl anderen überlassen sollte
  • Systematically broken: Das System ist kaputt – vergiss das System
  • Was tun? Was tun? Was lassen?: Was hilft – was nützt – was wirklich schützt

Und heute zum Abschluss mein klarer Aufruf:
Gehet hin und löschet euer Schlangenöl von euren Systemen!
Hinfort! Vade retro, satanas!

95% Erkennungsrate sind 100% verantwortungslos

In den kommenden vier Artikeln machen wir einen Ausritt in den Wilden Westen – dahin wo Versprechungen noch Versprechungen sind und wo echte Männer noch ihr Geld mit Lug und Trug verdient haben:
mit dem Verkauf von Schlangenöl.

Clark Stanley's Snake-Oil
Clark Stanley’s Snake-Oil

Für unseren Ausflug brauchen wir weder eine Zeitmaschine noch ein ESTA-Formular.
Wir bekommen unser modernes Schlangenöl hier:
Im Wilden virtuellen Westen (und Osten) des digitalen Raumes.
Schlangenöl wurde ursprünglich während der Landnahme durch die Siedler im Nordamerika des späten 19. Jahrhunderts als Wundermittel gegen jedwede Krankheit verkauft, die den aspirierenden Pionier auf seinem Weg zum Glück ereilen konnte.
Und in eben dieser Tradition wird heutigen Tags digitales Schlangenöl in Form von Antiviren-Software dem digitalen Pionier als Allheilmittel gegen Schadsoftware in jeglicher Form angepriesen.
In dieser Reihe stelle ich vor, warum AV-Produkte eben Schlangenöl sind.
Ich werfe zunächst einen Blick auf die wohlklingenden Statistiken der Schlangenölbranche.
Im zweiten Teil betrachte ich einige Gründe, warum Schlangenöl nicht funktioniert.
Den dritten Teil widme ich dem grundlegenden Problem einer Vireninfektion: dem Menschen.
Und im abschließenden Teil gebe ich einen Ausblick darauf, was uns wirklich gefährdet – nämlich fliegende Robotersaurier aus der Zukunft!
Nein, nur Spaß.
Wir schauen uns an, wie unser Verhalten zu unserer Gefährdung beiträgt.
Die fliegenden Robotersaurier aus der Zukunft sind nur schmückendes Beiwerk.
So, jetzt holt sich jeder noch ein Eis und dann reiten wir los in den Wilden Westen und schauen uns diese Schlangenölsache näher an.

Gesundbeten und Handauflegen hilft mehr

Würden wir unsere Lebensmittel in dem Maße reinigen, wie Schlangenöl unsere Computer vor Viren schützen, dann hätten wir ein mächtiges Problem.
Denn Erkennungsraten von 95% bedeuten im Umkehrschluss, dass mindestens 5% aller Viren nicht erkannt werden.
Ich komme später auf diese Zahlen zurück.
Werfen wir inzwischen nochmals einen Blick auf unsere Lebensmittel.
Damit eine Kakaobohne als keimfrei anerkannt wird, muss sie eine Keimfreiheit von 99,9% aufweisen.
Bei pasteurisierter Milch wird die Keimfreiheit erst bei 99,999% angenommen – und selbst die hält nicht ewig, Milch wird schon nach einigen Tagen sauer.
Aber Erkennungsraten von nur 95%?
Und das sind, laut VirusBulletin, die Spitzenergebnisse der Schlangenöl-Branche.

Virus Bulletin RAP quadrant August 2016 - February 2017
Virus Bulletin RAP quadrant August 2016 – February 2017

Damit würde unsere Milch quasi direkt aus dem Euter heraus bereits sauer gemolken werden.
Betrachten wir die Zahlen mal aus der Nähe.
Die 95% Erkennungsrate sichert uns nicht zu, dass wir zu 95% unserer Zeit am Computer 100-prozentigen Schutz vor allem genießen, sondern dass von 100 Schadsoftware-Programmen, die uns angreifen, 95 entdeckt werden.
Fünf kommen durch.
Fünf infizieren unseren Rechner.
Einer reicht, um Schaden für uns anzurichten.
Ob wir uns jetzt dabei einen Banking-Trojaner, zwei Keylogger, eine Ransomware und eine Malware, die Bitcoins schürft, eingefangen haben, ist dabei zunächst egal.
Wenn wir die Infektion feststellen – was in dem einen Fall (Ransomware) schneller gehen kann als in dem anderen (Bitcoin-Mining-Malware) – ist die daraufhin folgende Aktion identisch:
Tabula rasa.
Neues Spiel – neues Glück.
Und diesmal vielleicht besser aufpassen.
Hatte ich von Anfang an kein Schlangenöl auf meinem Rechner, erwischt mich – weil ich halt doch einmal unvorsichtig war – auch ein Trojaner.
Gleiches Spiel:
System neu aufsetzen.
Von daher erkaufen wir uns für teures Geld – ja, Schlangenöl kostet Geld! – ein wenig “gefühlten” Schutz.
Ich rede hier nicht von den kostenlosen Lockangeboten, bei denen mir immer wieder Albert Einstein einfällt:

 "Was nichts kostet, ist nichts wert."

Also zurück zu meiner Argumentationslinie.
Wir erkaufen uns für teures Geld die reine Illusion von Sicherheit.
Wenn wir uns Sicherheit im Wirkbereich des Schlangenöls kaufen wollen und uns nicht dem zusätzlichen Risiko, den wir durch den Einsatz von Virenscannern eingehen, aussetzen wollen, dann können wir auch einen Schamanen engagieren, der regelmäßig unsere Rechner gesund betet und seine Hand auflegt.
Das hat eine vergleichbare Wirkweise und ist sogar noch besser, da es die Angriffsfläche auf unseren Computer nicht zusätzlich erhöht.
Außerdem fördern wir möglicherweise noch die Akzeptanz von handauflegenden Schamanen.

Wir erkennen, was wir kennen

Wovon sprechen die modernen Quacksalber überhaupt, um uns in Angst zu hüllen und daraufhin unser Geld im Tausch gegen digitale Heilsversprechen entgegen zu nehmen?
Zum einen werden irrsinnig hohe Zahlen für alles mögliche geliefert:

"Im Schnitt verzeichnen die Experten der G DATA SecurityLabs alle 4.2 Sekunden eine neue Signaturvariante." - G DATA

(Die Signatur ist quasi der Fingerabdruck eines Computerviruses)
Aber was hilft mir das – mein Virenscanner aktualisiert sich halt nur alle 12 Stunden mit neuen Virendefinitionen.

"61 % der Befragten haben Angst vor dem Verlust von Fotos und Videos." – Umfrage Acronis

Ja und was hat das Bitte mit einem Virenscanner zu tun?
Liebe Schlangenöl-Verkäufer, ihr spielt hier mit den Ängsten von Anwendern, das ist nur in einer Richtung zielführend:
Nämlich euren Umsatz zu steigern.

"Fast 106 Mio. Spam-Mails pro Tag haben die Deutschen in 2015 empfangen. - Statista 2016

Hmm, tragisch, das sind knapp 1,3 Spam-Mails pro Tag für jeden Deutschen.
Jeder WhatsApp-Nutzer verbreitet im Schnitt geistigen Spam im Umfang von bis zu 600 Nachrichten pro Tag.
Stört auch keinen.
Ist das jetzt schlimmer?
Und auch hier wieder meine Frage:
Was hat das mit Virenscannern zu tun?
Nicht jede Spam-Mail ist per se virulent.
Salbungsvoll werden bei den Schlangenöllieferanten Erkennungsraten von 100% (und mehr!) suggeriert.
Ja – bei bereits bekannten Computerviren.
Etwas zu erkennen, dass ich bereits kenne, ist keine große Kunst.
Die Erkennungsrate von 100% bei bekannten Viren wird als Prognose auf die Zukunft gewertet.
Dies ist jedoch ein Trugschluss, denn – ähnlich wie Bakterien als Krankheitsauslöser – mutieren Computerviren; nur eben viel schneller.
Und jede neue Mutation muss neu erfasst werden – so kommen wir zu der hohen Frequenz bei der Erfassung neuer Signaturvarianten.
Allerdings schützt uns dies nicht – die Zeit zwischen der Erfassung einer neuen Virensignatur und der Aktualisierung des Virenscanners ist viel zu groß.
Die Infektion durch den neuen Virus kann in dieser Zeit nicht durch die vermeintliche Schutzsoftware verhindert werden.
Wir erkaufen uns mit Schlangenöl – für einen hohen Preis – ein Stück Bequemlichkeit und die Illusion von Sicherheit.
Bequemlichkeit, denn wir legen den Schutz unserer Daten und unserer digitalen Identität in die Hände einer vermeintlich sicheren Software.
Illusion von Sicherheit, denn wir neigen dazu, unser gesundes Mißtrauen zugunsten eben dieser vermeintlich sicheren Software aufzugeben.
Wähnen wir uns geschützt, so verhalten wir uns risikobereiter.
Wir beginnen, auf dem Drahtseil zu tanzen, die Tatsache ignorierend, dass das Netz darunter nur aus leeren Versprechungen besteht.

Was tun – statt Schlangenöl?

Wieder ist mein Plan, mit Hilfe und Rat zu enden anstatt mit Heulen und Zähneknirschen.
Also, was können wir tun?
Zunächst einmal, kritisch die Beweggründe der Schlangenölverkäufer hinterfragen.
Diese verdienen Geld mit unserem Sicherheitsbedürfnis.
Je mehr Gefahren sie uns aufzeigen können, desto einfacher können sie uns davon überzeugen, Geld für unsere gefühlte Sicherheit auszugeben.
Was hilft uns weiterhin?

  • Backup hilft uns
    Wenn uns ein Computervirus erwischt, dann müssen wir unser System neu aufsetzen.
    Die offensichtlichste Notwendig dazu besteht, wenn ein Erpressungstrojaner unsere Daten verschlüsselt hat.
    Dann ist es ganz klar, dass wir unser System neu einrichten müssen.
    Und an dieser Stelle hilft es ganz deutlich, wenn wir ein Backup unserer Daten haben.
    Bei jedem anderen Virus sollten wir analog vorgehen – auch wenn die Auswirkung der Schadsoftware nicht so direkt und eindrücklich ist.
    Haben wir einen Virus im System gefunden, dann wollen wir diesen los werden.
    Endgültig.
    Und das schaffen wir mit den Neuaufsetzen unseres Systems.
  • Nachdenken
    Erst denken – dann klicken.
    Dieser einfach Zwischenschritt vor dem unbedachten Klick auf einen Link in einer E-Mail bewahrt uns weitgehend vor unerwünschten digitalen Bewohnern unseres Computersystems.
    Die meisten Viren verbreiten sich immer noch per E-Mail – entweder als Link auf eine mit Schadsoftware präparierte Website oder über einen mit Malware verseuchten Anhang.
    Wenn wir immer zuerst prüfen, von wem die E-Mail kommt und uns im Zweifel einfach beim Absender rückversichern, ob dieser wirklich einen Link oder einen Anhang verschickt hat, so bewahrt uns dies vor einigem Ungemach.
  • Achtsam handeln
    Hilft nicht nur für gutes Karma und einen 1-A-Platz direkt an der Softeismaschine im Paradies, sondern schützt uns auch vor der ein oder anderen unachtsam eingefangenen Schadsoftware.
    Vieles lässt sich vermeiden, wenn wir einfach achtsamer durch unser digitales Leben gehen.
    Es sind oft nur Kleinigkeiten, die den Unterschied zwischen der gesuchten Bank-Seite und einer bösartigen Phishing-Seite ausmachen.
    Bei Links erweist sich dieses – zugegeben – unbequeme, aber sichere Vorgehen als guter Schutz:
    Lieber einen Link händisch in den Browser eintippen, als ungeprüft einen Link klicken.

Ein Zitat von G DATA will ich hier noch nennen – und korrigieren:

"Heutzutage kommt kein Top-Antivirus-Produkt mehr ohne proaktive Technologien aus." - G DATA PC Malware Report H2/2015

Meiner Meinung kommt heute kein Anwender mehr ohne proaktives Handeln aus.
Das differenzierte Vorgehen und das zielgerichtete Handeln – was Proaktivität definiert – schützt uns weit besser vor Schadsoftware als dies jede Software könnte.

TL;DR

  • Homöopathie für Rechner: Gesundbeten und Handauflegen hilft mehr
  • Numberfucking: Wir erkennen, was wir kennen
  • Es gibt Hoffnung: Was tun – statt Schlangenöl?

Lassen wir die Schlangenölhändler auf den Jahrmärkten des ausgehenden 19. Jahrhunderts zurück und nehmen den Schutz unser Privatsphäre und unserer digitalen Identität in die eigene Hand.
Digitale Selbstverteidigung schützt uns – auch vor Schlangenöl.

Ein paar unbequeme Gedanken zur Bequemlichkeit

Als bequemen Abschluss meiner Reihe über den Widerspruch, den uns der Drang nach Bequemlichkeit und die Notwendigkeit von Privatsphäre auferlegen, mache ich mir heute noch einige unbequeme Gedanken zur Bequemlichkeit.
Ich will noch einmal eindrücklich darauf hinweisen, dass wir stets in einem Spannungsfeld zwischen Bequemlichkeit und Privatsphäre leben.
Wenn wir mehr von dem Einen haben, geben wir zwangsläufig etwas von dem Anderen auf.
So ist das im Leben – wir können nicht alles haben.
Und ich bin überzeugt davon, dass dies auch gut ist.
Wir werden uns bewusster, dass wir uns gezielt für etwas – und auch am besten gezielt gegen etwas – entscheiden.
Einen guten ersten Schritt haben wir schon getan, wenn wir uns bewusst machen, wofür wir uns entscheiden.
Wenn wir bewusst sagen, ja ich gebe einen Teil meiner Privatsphäre auf, um dafür etwas mehr Bequemlichkeit zu erhalten.
Und die Erkenntnis, dass wir uns bewusst für die eine Seite und damit ebenfalls bewusst gegen die andere Seite entscheiden, ist entscheidend.
Erst dann sind wir nicht mehr von außen gesteuert.
Erst dann haben wir die Möglichkeit, eine echte Entscheidung zu treffen.
Bewusst für eine Stärkung unserer Privatsphäre einzutreten.

Bequemlichkeit schafft Trägheit

Ich hatte bereits im ersten Teil meiner Bequemlichkeitsserie geschrieben, dass wir aktiv gar nichts tun müssen, um eine höhere Ebene der Beuquemlichkeit zu erreichen.
Dorthin werden wir automatisch von Bequemlichkeit schaffenden Errungenschaften befördert.
Die damit einhergehende Aufgabe der Privatsphäre (wobei es paradoxerweise die Aufgabe der Privatsphäre ist, diese Aufgabe zu verhindern) nehmen wir im Rahmen der bequemen trägheitssteigernden Bequemlichkeitszunahme gern in Kauf.
Andererseits erfordert es von uns Aktivität und Bereitschaft, sich dem von außen verordneteten Zuwachs an Bequemlichkeit zu widersetzen.
Mir kommen die Borg in den Sinn, wenn ich hier über den konstanten und von externen Seiten verordneten Zuwachs von Bequemlichkeit in unserer Gesellschaft nachdenke:

"Widerstand ist zwecklos!"

Was im übrigen überhaupt nicht stimmt.
Widerstand ist selten zwecklos (also nur, wenn man den Widerstand beispielsweise überbrücken kann).
Widerstand ist erstmal das Verhältnis zwischen elektrischer Spannung und der Stärke des durchfließenden Stroms:

R = U/I

Also – um es für uns und unsere Betrachtung des Verhältnisses von Bequemlichkeit und Privatsphäre zu verdeutlichen, müssen wir anerkennen, dass es Kraft kostet, aktiv zu werden.
Aufwand, Bewusstheit oder was auch immer ist der Preis, den wir bezahlen müssen, wenn wir uns der zunehmenden Bequemlichkeit widersetzen wollen.
Es ist also gewissermassen ein Luxus, Privatsphäre zu hegen und zu pflegen.
Nur die wenigsten leisten ihn sich.
Aber der Aufwand lohnt sich!
Ehrlich.
Stellen wir uns vor, wir sind ein Widerstand.
Einer von den ganz großen.
Und von außen strömt immer mehr Bequemlichkeitsgedränge auf unsere Privatsphäre ein.
Also müssen wir dem unseren inneren Widerstand dagegenhalten.
Ansonsten wird unsere Privatsphäre immer weiter vom Bequemlichkeitsstrom zurückgedrängt.
Und das wollen wir nicht.

Am anderen Ende der Bequemlichkeit

Richten wir unsere Gedanken auf das andere Ende der Bequemlichkeit.
Was ist dort, auf der jenseitigen Seite eines bequemen Lebens.
Also dort, wo wir uns gänzlich der Bequemlichkeit anheim geworfen haben und jegliche Privatsphäre einem mehr und immer mehr an Bequemlichkeit geopfert haben.
Dort, im Schlaraffenland der Trägheit – manche würden es wohl Hölle nennen – wird etwas Neues aus unserer Bequemlichkeit.
Nämlich Notwendigkeit.
Es ist nicht mehr reine Bequemlichkeit, die uns drängt und zieht, immer bequemer zu werden.
Der Drang zur Bequemlichkeit wird zur Notwendigkeit.
Wir werden alles tun, jeglichen Rest unserer Persönlichkeit aufgeben, um der Notwendigkeit zu immer mehr Bequemlichkeit nachzukommen.
Wenn wir schon jetzt für ein kleines bisschen mehr Streaming, für ein wenig mehr Kaufempfehlungen oder ein bisschen weniger Tipparbeit beim Ausfüllen eines Formulars bereit sind, Teile unserer Privatsphäre zu opfern … wie weit sind wir dann noch davon entfernt, etwas mehr Privates, Intimes für das bisschen mehr Bequemlichkeit herzugeben?
Je mehr wir uns der wachsenden Bequemlichkeit in den gierigen Schlund werfen, desto schwieriger wird der Weg zurück zu einer starken Privatsphäre.
Er wird schwieriger – aber nicht unmöglich.
Darum an dieser Stelle mein dringender Aufruf:
Niemals aufgeben.
Oder wie Gordon Shumway es paraphrasiert:

"Es ist selten zu früh und niemals zu spät."

Es könnte aber auch anders funktionieren…

Ein hehres Ziel beim Schreiben meiner Artikel ist es, auf einer positiven Note zu enden.
Andernfalls beschleicht mich das Gefühl, wie ein Weltuntergangsverschwörungstheoretiker zu klingen.
Und das will ich ja auch nicht.
So klingen.
Nein, ganz ohne Ernst.
Ich bin auch ein Mensch und ich hab es gerne bequem.
Schließlich meißle ich diese Artikel nicht auf Steintafeln, sondern nutze bequeme Onlinedienste, um meine Gedanken in alle Welt zu verteilen.
Von diesem Standpunkt ausgehend habe ich einige Ideen gesammelt, wie Bequemlichkeit und Privatsphäre vielleicht an der einen oder anderen Stelle zusammenkommen können.

  • Ein Intranet der Dinge
    Also, gerne die ganze Heimautomatisierung, aber eben nur lokal.
    Wenn man denn unbedingt das Licht in der Speisekammer direkt aus dem Fernsehzimmer drei Etagen weiter oben dimmen will.
    Oder eben zentral alle Rolläden gleichzeitig runterlassen will – das wirkt dann wirklich ein bissel wie Zombie-Apokalypse (oder wenn die krummbucklige Verwandtschaft anrückt…).
    Ist alles prima bequem – und muss definitiv nicht im Internet hängen.
    Es ist wirklich kein sinnvoller Anwendungsfall, das Licht im Gästeklo per Smartphone vom Strand auf Ko Samui aus zu steuern.
    Isses nicht.
    Egal, was euch die Werbung einzuimpfen versucht.
  • Ein Fitness-Tracker, der nur meine Fitness trackt und nicht meine Privatsphäre
    Es ist doch erstmal technologisch gesehen das einfachste Ding, die Daten nur dort zu erfassen und zu verarbeiten, wo sie entstehen.
    Der ganze Müll mit der Auswertung auf den Servern der Hersteller – und der Korrelation auf den Servern der 23 weiteren Datenkraken – trägt für den Nutzer nicht zur Verbesserung des ursprünglichen Zweckes des Fitness-Trackers bei.
    Jajaja, Wettkampf als Motivation und globale Vergleichswerte zur besseren Erfolgskontrolle, bla, bla, bla … und weitere Hohlphrasen der Marketingabteilungen der Datenkraken.
    Ist alles nur leeres Gewäsch.
    Das Einzige, was wir aus diesen geschliffenen pseudo-wissenschaftlichen Behauptungen für uns herausziehen können ist die Erkenntnis, dass wir nicht der Kunde sind – sondern das Produkt.
    Und somit den Datenkraken als Datenmine, die geschürft wird, dienen sollen.
    Ein trauriges Beispiel dafür hat letztes Jahr der Kauf von Pebble durch fitbit gezeigt.
    Ich bin davon überzeugt, dass Pebble nicht aufgrund seiner innovativen Fitness-Trackern gekauft wurde, sondern um einen privatsphären-affinen Konkurrenten aus dem Rennen zu grätschen.
    Traurig, denn Pebble kam schon recht nah an die Idee vom lokalen Fitness-Tracker heran.

Was in diesem Kontext gar nicht geht, sind die “Wir lernen von den Verhaltensweisen der anderen Nutzer” Dystopien.
Ich kann dann meine Deep-Learning-Wanze Alexa nicht um Rat fragen und erwarten, eine Antwort zu bekommen, die für mein Profil (basierend auf 7385 ähnlichen Anfragen aus meinem Freundeskreis) eine Eintrittswahrscheinlichkeit von 87,34 % hat.
Aber auch an dieser Stelle frage ich wieder:
Wer braucht das schon?
Ich konnte mich auch früher ganz ohne Fashion-Tipps einer künstlichen Unintelligenz für die Klamotten entscheiden, die mir gefallen haben – und sonst keinem.
Schade, mein hehres Ziel wieder verfehlt…

TL;DR

  • Resistance is futile: Bequemlichkeit schafft Trägheit
  • In der Hölle gibt es keine Regenbögen: Am anderen Ende der Bequemlichkeit
  • Wenn ich mir etwas wünschen dürfte: Es könnte aber auch anders funktionieren…

Darum, liebe Leser, gebt euren Widerstand nicht auf – oder beginnt damit, ihn zu entwickeln.
Es gibt etwas da draußen, für das es sich lohnt, die Bequemlichkeit einzuschränken.
Wir wollen doch nicht alle aussehen und handeln wie die traurig daherschlurfenden und zentral gesteuerten Borg.

Resistance is not futile!

Wehren wir uns.