Infodienst über das Digitale im Sozialen
Suche

Wenn die Antivirensoftware zum Sicherheitsproblem wird: ToddyCat Malware nutzt Lücken aus

Beschreibung von

  • Philipp Fode

Link

Eine Sicherheitslücke in der Eset Antiviren Software hat kürzlich dazu geführt, dass Malware Zugriffsberechtigungen ausweiten konnte. Wir haben diese Situation zum Anlass genommen einmal umfassend über die Probleme mit Antivirensoftware aufzuklären.

Software ist Handarbeit und enthält Fehler. Sie wird durch Menschen entwickelt und diese sind bekanntlich nicht unfehlbar. Und ja, auch wenn es jetzt den Trend gibt KI in die Softwareentwicklung zu integrieren führt das nicht zu besseren Ergebnissen. Eine KI kann nur so gut sein, wie die Daten von denen sie lernt, welche widerrum durch Menschen entwickelt wurde.

Soweit nichts neues. Doch wenn es um Antivirensoftware geht fühlen sich viele Menschen und Firmen sicher. In der IT-Szene spricht man häufig von Schlangenöl.

Schlangenöl (aus dem Englischen snake oil) ist die spöttische Bezeichnung für ein Produkt, das wenig oder keine echte Funktion hat, aber als Wundermittel zur Lösung vieler Probleme vermarktet wird.
Quelle: https://de.wikipedia.org/wiki/Schlangen%C3%B6l

Diese Bezeichnung trifft es Perfekt. Antivirensoftware wird durch eine Branche entwickelt und vermarktet, die ihr Geld durch Angst von dem großen Unbekannten verdient. Spoiler vorweg: Ihr fangt euch keine Viren, Trojaner oder Malware ein nur weil keine Antiviren Software installiert ist. Auch nicht unter Windows. Aber dazu später mehr.

Wenn ihr Produkte von Avira, Avast, Eset und wie sie alle heißen auf Eurem System installiert erlaubt ihr dem Hersteller der Systeme allerdings tiefgreifende Einblicke in Eure Systeme. Denn Antivirensoftware arbeitet mit sogenannten Heuristiken. Das heißt es prüft tief im System verankert Prozesse auf Unregelmäßigkeiten und blockiert diese im Zweifel. Das kostet nicht nur verhältnismäßig viel Rechenleistung und verlangsamt euren Computer, sondern ermöglicht auch tiefgreifende Einblicke in Euer digitales Leben – nein, heute kommen Antivirenprodukte als sogenannte Security-Suites mit E-Mail, Browserschutz und weiteren „Komforfunktionen“ wie einer „Speed up your PC“ oder ähnlichen Optionen. Häufig kostenfrei, manchmal mit Werbung und immer gekoppelt an die Möglichkeit eines Bezahl Abos.

Nicht selten bin ich erschrocken darüber, dass diese Akteure als „die Guten“ wahrgenommen werden. Dabei braucht man Fachperson zu sein, um zu verstehen, dass es a) von gewinnorientierten Firmen nichts gratis gibt und b) dass diese Funktionen natürlich eine umfassende Analyse von Inhaltsdaten zur Folge haben.

Die Informationen darüber lassen sich, DSGVO sei dank, auf der Herstellerseite einsehen. Hier ein Beispiel für Avast: https://www.avast.com/de-de/products-policy#antivirus

Deren E-Mail Wächter speichert beispielsweise folgende Informationen 36 Monate lang u.a. zum Zweck der „Verbesserung des Produktes“

  • Hash der E-Mail
  • Hash der UserID
  • Betreff der E-Mail
  • Hash der Absender-E-Mail-Adresse
  • Domain-Adresse des Absenders
  • Art und Name der Erkennung
  • Name der Anhänge und deren Hashes
  • Land des Nutzers
  • IP-Adressen von E-Mail-Servern (SMTP-Server)

*ein Hash ist eine Möglichkeit Daten zu anonymisieren, können aber miteinander verglichen werden, was u.a. im Marketing passiert. Zudem gibt es verschiedene Angriffsmöglichkeiten auf Hash-Tabellen um diese rückwirkend wieder lesbar zu machen und sollte es sich anstelle von Hash um Verschlüsselung handeln kann diese durch das Vorhalten eines Decryption-Key auch umgekehrt werden.

Sollte man den in solchen Tools integrierten VPN Service nutzen lässt sich auch der gesamte Datenverkehrt analysieren und an Werbetreibende verkaufen. Am Beispiel Avast an die gesamte Palette der Werbenetzwerke:

  • Google AdMob
  • Amazon
  • Facebook Audience Network
  • InMobi
  • AppLovin
  • Unity Technologies
  • IronSource
  • Liftoff Mobile

Es wird also klar – es gibt nichts gratis. Man zahlt mit der Aufgabe seiner Privatsphäre und bei einem Bezahlabo fällt höchstens die Datenweitergabe weg. Dennoch überlässt man intimste Informationen über sich einer Firma der man einfach vertraut. Schließlich sind sie die Guten… Aber woher kommt diese Gewissheit und das Vertrauen?

Mal abgesehen davon, dass Windows schon seit Jahren einen integrierten Virenschutz bereitstellt vertrete ich die Idee von „erst denken, dann klicken“. Eine Sekunde nachzudenken, bevor man blind auf einen Button klickt, auf dem steht „hier klicken“ oder einen Anhang öffnet. Auch von jemanden den man kennt! –> Was ist und wie funktioniert eigentlich ein Spear Phishing Angriff

Wissen schützt am besten und ist die Motivation für diesen Blog Beitrag.

Nun nochmal zu der These, dass man sich sofort Schadsoftware zuzieht, wenn man „ungeschützt“ im Internet unterwegs ist. Ja, es ist möglich! In aller Regel braucht es dazu aber zuvor einen aktiven Part. Unsichere oder veraltete Software, Aufrufen einer kompromittierten Webseite, Schadcode in Werbung. Was mich wiederum dazu bringt auf die Strategie „Erst denken, dann klicken“ zu referenzieren.

  • Geben Sie nie Ihre Zugangsdaten oder Passwörter weiter.
    • auch nicht wenn ihre vermeintliche Bank sie dazu auffordert und mit einer Frist unter Druck setzt. Ein Anruf schafft Klarheit
  • Überprüfen Sie vor der Eingabe sensibler Daten die Adresszeile Ihres Browsers dahingehend, ob auch wirklich die gewünschte Webseite aufgerufen wurde. Kriminelle verwenden oft ähnlich lautende bzw. gleichlautende Adressen mit anderer Endung, zum Beispiel „.to“ statt „.at“.
    • Überprüfung von Subdomains (der Bereich einer Domain vor dem ersten Punkt.
      paypal.beispielseite.de vs. beispielseite.paypal.de
  • Laden Sie Dateien nur von vertrauenswürdigen Webseiten herunter, Programme zum Beispiel idealerweise direkt von der Herstellerseite.
  • Falls sich unerwartet ein Programm installieren will und Sie eine Meldung zum Bestätigen dieser Installation bekommen, brechen Sie die Installation ab.
  • Seien Sie vorsichtig bei Dateinamen mit mehreren Endungen (z. B. rechnung.pdf.exe); nur die letzte Silbe nach dem Punkt ist tatsächlich die Dateiendung. Beim Beispiel handelt es sich also um eine ausführbare EXE-Datei. Ein PDF-Dokument fragt nie nach einer Installationsbestätigung, bei der Sie Ihren Benutzernamen und Ihr Passwort eingeben sollen.
  • Anmeldung bei Watchlists um über neue Angriffsszenarien und Betrugsmaschen gewarnt zu sein
    • bspw. https://www.watchlist-internet.at/
  • Verwendung von Werbeblocker wie Ublock origin

Quelle: https://www.onlinesicherheit.gv.at/Themen/Praevention/Erst-denken-dann-klicken.html

Abschließend bleibt folgendes festzuhalten:

  • Antivirensoftware bringt eher gefühlte als reale Sicherheit und kann bei unbedachter Nutzung von IT-Systemen (veraltete Software oder Betriebssystem) unter Umständen schlimmeres verhindern.
    • Im Gegenzug führt es häufig dazu, dass sich Menschen in vermeintlicher Sicherheit wiegen und noch unbedachter das Internet nutzen. Das birgt das Risiko, dass bei veralteten Sicherheits-Signaturen oder fehlenden Updates Lücken entstehen
    • Auch Antivirensoftware enthält Fehler und ermöglicht im schlimmsten Fall die Ausführung von Schadcode auf tiefster Systemebene und ermöglicht pot. das unbemerkte Einnisten.
      Siehe verlinkter Beitrag in der Linkbox.
    • Mit Antivirensoftware lässt sich vor allem Geld verdienen, weil Menschen Angst vor dem Unbekannten haben. Das öffnet eine riesiges Geschäftsfeld mit persönlichen Daten der Nutzer und wo es Geld zu verdienen gibt, ist auch Missbrauch nicht weit.

  • Wenn es doch ein Antivirenschutz sein soll, dann wie bei allem anderen etwas nehmen was in so sensiblen Bereichen mit Transparenz und nicht mit Marketing-Geschwurbel überzeugt. Hier ist Open Source eine Antwort und ClamAV / ClamWIN einen Versuch wert.
    • Nein, die Art wie Software optisch wirkt entscheidet nicht darüber ob sie etwas taugt. Dieses Argument lässt sich allerdings zum Gegenteil umkehren. Eine Antivirensoftware soll in erster Linie möglichst unbemerkt im Hintergrund arbeiten und nur im Bedarfsfall warnen. Wenn das Interface nach Raumschiff-Cockpit aussieht wurde viel Geld in den visuellen Stil investiert, das dann pot. für die Qualität des eigentlichen Produktes fehlt.

  • Insbesondere im Organisations- oder Firmenkontext sollte grundsätzlich über den Einsatz von Firewalls, ggf. aber über Intrusion Detection Systems (IDS) oder Endpoint Detection and Response (EDR) Lösungen nachgedacht werden

Abschließend noch ein Hinweis in eigener Sache – Der Abschnitt Virus und digitale Selbstverteidigung sind fester Bestandteil unserer 3 stündigen Schulung zu Datenschutz und IT-Sicherheit oder als zubuchbares Modul, welches wir in Persona oder auch Online für gesamte Teams empfehlen.
https://makeitsocial.net/fort-und-weiterbildung/

Viele Grüße
Philipp Fode

Interessiert an einer wöchentlichen Zusammenfassung der neuesten Inhalte per E-Mail?

zur Anmeldung

Andere Beiträge

Unfollow Antisemitismus – Perspektiven aus Praxis und Wissenschaft

Mittagstisch mit Mehrwert: Das Geheimnis der Transparenz: Wie offene Daten die Gesellschaft stärken

Hybrider Fachtag – Innovationsforum

Ein Angebot von

folgt uns auf Mastodon und verpasst keine Inhalte mehr
Logo des Open Source Tools Mastodon
makeITsocial@digitalcourage

Schonmal von KolliCloud gehört?

Die KolliCloud* bündelt verschiedene Open Source Tools, die Vereine und Organisationen bei der digitalen Zusammenarbeit unterstützen. Mehr Infos bekommt ihr unter KolliCloud oder Vereinscloud SH 

Immer auf dem laufenden bleiben

Da sich die Themenauswahl auf diesem Portal daran orientiert, welche Inhalte uns in unserer täglichen Arbeit begegnen und was Menschen zur Verfügung stellen, lohnt sich die Anmeldung im Newsletter, um etwa zwei Mal im Monat eine Liste der neuesten Inhalte zugeschickt zu bekommen. 

Absolut unverbindlich und jederzeit wieder abbestellbar :)

Jetzt zum Newsletter anmelden
Suche
Skip to content