Zusätzlicher Schutz durch Antivirus-Software noch "Sinnvoll"?

[Malzzi]

Hallo ihr lieben,
ich bin vor einigen Tagen über einen Bericht gestoßen, wo es um Sicherheit im Netz geht. Dort wurden unter anderem AV Programme angesprochen.

Ich Surfe nun seit ca. 3 Jahren ohne AV Programm im Netz und hatte bisher nie ernsthafte Probleme. Gut, "ohne" ist jetzt auch ein bisschen übertrieben, gibt ja noch den Windoof-Defender. Ob der überhaupt was macht außer da sein? Keine Ahnung.

Bis jetzt bin ich mit dem ADW-Cleaner und meinem Verstand immer ganz gut gefahren. Der ADW-Cleaner findet ab und an mal ein paar Kleinigkeiten, aber wie gesagt, nie etwas bösartiges/schwerwiegendes, weswegen ich hätte mein Windoof neu aufsetzen hätte müssen.

Jedoch bin ich nun auch schon ein bisschen was raus aus der Materie, habe also nicht wirklich viel Ahnung, was in diesen 3 Jahren an neuen gefahren im Netz dazugekommen sind. So stellt sich mir jetzt die Frage:

Lohnt sich heute noch ein zusätzliches Antivirenprogramm, oder reicht nach wie vor die Standardsicherung von Microsoft aus?
Auf unseriösen Websites/Links klicke ich sowieso nicht drauf. Doch auch die "Abzocker" im Netz entwickeln höchst wahrscheinlich auch ihre "Viren", etc., weiter. Vielleicht erkennt man schon heute gar nicht mehr, welcher Link gut und welcher Link böse ist.

Vielleicht habt ihr ja einen guten Beitrag, der nicht mit den Firmen der AV Hersteller zusammenarbeitet und es heißt: "Man BRAUCHT UNBEDINGT einen AV-Schutz für seinen PC!".
Vielen Dank im Voraus!

 

[Drewkev]

Ob der überhaupt was macht außer da sein?

Mittlerweile schon.

Aber das ist ein Thema worüber man sich über mehrere Seiten streiten kann, wirklich essenziell ist ein zusätzlicher Virenschutz mMn. nicht (mehr).

 

[till69]

Defender + uBlock + etwas brain.exe reicht in der Regel vollkommen

Windoof-Defender

Eher peinlich als lustig

 

[abulafia]

Das ist eine Variation der Sonntagsfrage. https://www.computerbase.de/2022-02/windows-defender-sicherheit/

🍿🍿🍿 Popkorn und Zurücklegen, gleich geht's los.


Edit: Ah, da geht schon was ... Brain.exe und gleich kommt was mit Schlangenöl, perfekt.

 

[BFF]

Dann wirst Du sicherlich zum Basisschutz fuer die Browser uBlock Origin und andere kleine Helferlein benutzen.

Das ist mittlerweile voellig ausreichend. @Malzzi

 

[StefanArbe]

ich schwöre auf den windows virenscanner, der admin in der firma schwört auf virenscanner mit KI

 

[dermoritz]

Zusätzlicher Virenschutz wird heute eher als Sicherheitsrisiko betrachtet. Im besten Fall macht er nichts kaputt oder stellt keine Bedrohung dar.

Was ist die Empfehlung von jedem Support-Mitarbeiter- egal um welches Produkt es sich handelt:
- bitte schalte den Virenscanner aus. Man sollte sich FRagen warum (auch wenn es in den meisten Fällen natürlich nicht hilft)

 

[madmax2010]

Eins der wichtigsten Prinzipien der IT-Sicherheit ist es die Angriffsfläche zu minimieren. Sprich: Nur was man braucht sollte auf einem System sein, So wenig tools wie moeglich duerfen ins Internet. Updates werden sofort installiert.
Antiviren tun das Gegenteil.

Das Ding mit Antiviren ist halt, dass sie unglaublich viele Techniken zum verarbeiten Tausender Dateitypen mitbringen.
Kein Antivirenhersteller ist groß genug um all diese Parser für all die obskuren Dateiformate der letzten Jahrzehnte sauber und fehlerfrei und vor allem sicher zu implementieren. Fehler passieren. Immer. Das ist auch OK so. Aber:
Da sie halt nicht groß genug sind, dass sie so eine Aufgabe alleine stemmen könnten, nutzen Antivirenhersteller hier für einen großen Teil der Formate die Lösungen, die andere die bereits Parser / Interpreter / etc für bestimmte Dateitypen entwickelt haben
Hat der originale Vendor nun eine Sicherheitslücke, betrifft diese auch Antivirenprodukte. Steht ein Patch zur Verfügung ist zuerst das Produkt und später der Antivirus. So erfahrungsgemäß aus der Branche. Sprich: Dank des tollen Antivirus, bist du weiterhin angreifbar, obwohl die Lücke schon geschlossen wurde.
Hier wird also unnötig Angriffsfläche erzeugt.
Antivirenprogramme sind toll auf Live CDs und für ein Post-Mortem, also um wenn die regulären Sicherheitsmechanismen versagt haben zu schauen, was genau passiert ist. Alles in allem können sie aber, auch ohne direkt angegriffen zu werden, den Befall durch Schadsoftware begünstigen.
Ja, da da oben deckt nur einen kleinen Teil dessen ab, was in Antiviren so vor sich geht, aber da hier halt schon das Konzept der Minimierung von Angriffsfläche einfach mal komplett ignoriert wir..

Sichere / Sicherheitssoftware wird von aufgrund als solche konstruiert. und nicht aus dem Mist anderer zusammen gestrickt. Gerade so buden wie Avira, Bitdefender, Avast, Symantec, McAfee, Kaspersky, u.a habe sich in den letzten Monaten nicht gerade mit Ruhm bekleckert. Jahre lang hört man nichts mehr von DLL Hijacking, weil niemand so beschissene Software schreibt und auf einmal schaut jemand nach und alle kommerziellen Antiviren haben das gleiche defekte Modul verbaut.
Wer Quality Control auf dem Level hat, dessen Software will ich mit vollen Rechten und eigenem Updater auf dem PC haben. Not.

Wenn ein Teil eines Programme viel Angriffsfläche bietet, bringen auch noch so viele Workarounds und und Absicherungen auf anderen Layern nicht viel. Denn auch hier wird Angriffsfläche geschaffen, die eigentlich nicht hätte sein müssen.


Ich meine.. hey... Dank Antiviren haben wir überhaupt erst cross-plattform schadsoftware. Muss mal nachschlagen, ich glaube es war kaspersky deren JS Engine so angreifbar war, dass aktuelle Viren am ende aus allen POSIX und Win Systemen lief. Bin schon beeindruckt. Also: Danke Kaspersky, habt ihr toll gemacht. <Slow Clap>

Wie auch immer. Wenn dir jemand sagen will, dass du unbedingt einen Virenschutz brauchst, hat von deren Funktionsweise keinen blassen Schimmer.
Updates installieren. Alle. Immer. Sofort.
uBlock als Werbeblocker. kein Ad-Net ist vertrauenswürdig. Ja, auch google hat so schon schadsoftware verteilt. Blocken und gut.
Dabei Finger weg von Adguard, ABP und Co. Das sind Gewinnorientiertfe Firmen, die kaum etwas offen legen und sich Teils in lustigen internationalen Firmenkonstrukten verstecken. Genau das was man tun sollte, um Vertrauen aufzubauen

Noch fragen?

TL;DR:

Zusätzlicher Virenschutz wird heute eher als Sicherheitsrisiko betrachtet. Im besten Fall macht er nichts kaputt oder stellt keine Bedrohung dar.

 

[FR3DI]

gibt ja noch den Windoof-Defender.

Etwas was man im Hause MS doch mal mit der Zeit auf die reihe bekommen hat, ist ein Schutz mit Daseinsberechtigung!

Ansonsten;
Surfen Sie werbefrei und sicher im Web. Gut geschützt!

AdGuard ist die beste Lösung, um aufdringliche Werbung und Online-Tracking loszuwerden und Ihren Computer vor Schadsoftware zu schützen. Machen Sie Ihr Surfen im Internet schneller, sicherer und komfortabler mit AdGuard!

Du kannst auch denen Ihre DNS in deinen Router eintragen, weil du nicht jedes Gearet einzeln mit einem Blocker ausstatten musst.

Öffnen Sie die Einstellungen für Ihren Router. Normalerweise können Sie über Ihren Browser darauf zugreifen. Geben Sie je nach Modell Ihres Routers eine der folgenden Adressen ein:
Linksys und Asus Router verwenden normalerweise http://192.168.1.1

Netgear-Router verwenden normalerweise http://192.168.0.1 oder http://192.168.1.1

D-Link-Router verwenden normalerweise http://192.168.0.1

Ubiquiti-Router verwenden normalerweise http://unifi.ubnt.com
Geben Sie den Router-Passwort ein.
Beachten Sie, dass Sie das Passwort Ihres Routers oft durch Drücken der Taste am Router selbst zurücksetzen können, wenn Sie sich nicht an das Passwort Ihres Routers erinnern. Einige Modelle verfügen über eine spezielle Anwendung, um sie zu verwalten. In diesem Fall sollte die Anwendung bereits auf Ihrem Computer installiert sein.
Gehen Sie auf der Verwaltungsseite des Routers zu den DNS-Einstellungen. Ersetzen Sie die DNS-Adressen durch die Adressen eines der unten aufgeführten Server.
Standard-Server
AdGuard DNS blockiert Werbung und Tracker.
IPv4:
94.140.14.14
94.140.15.15
IPv6:
2a10:50c0::ad1:ff
2a10:50c0::ad2:ff
Nicht filternder Server
AdGuard DNS blockiert keine Werbung, Tracker oder andere DNS-Anfragen.
IPv4:
94.140.14.140
94.140.14.141
IPv6:
2a10:50c0::1:ff
2a10:50c0::2:ff
Familienschutz-Server
AdGuard DNS blockiert Werbung, Tracker und Inhalte für Erwachsene und aktiviert nach Möglichkeit die Sichere Suche und den Sicheren Modus.
IPv4:
94.140.14.15
94.140.15.16
IPv6:
2a10:50c0::bad1:ff
2a10:50c0::bad2:ff
Speichern Sie die Änderungen.

Gruss Fred.

 

[abulafia]

AdGuard hatte ich hier mal angesprochen: https://www.computerbase.de/forum/t...oudflare-datenschutz-und-dns-sperren.2101349/

Ich benutze den AdGuard-DNS zurzeit immer noch, da man tatsächlich alle Geräte im Netz "erreicht" ohne selbst einen DNS-Resolver zu betreiben. Datenschutzrechtlich ist das vielleicht nicht optimal, aber einen Tod muss mal wohl sterben.
Ausfälle oder störende False-Positives habe ich bisher nicht beobachtet.

 

[andy_m4]

Kein Antivirenhersteller ist groß genug um all diese Parser für all die obskuren Dateiformate der letzten Jahrzehnte sauber und fehlerfrei und vor allem sicher zu implementieren. Fehler passieren. Immer. Das ist auch OK so. Aber:
Da sie halt nicht groß genug sind, dass sie so eine Aufgabe alleine stemmen könnten, nutzen Antivirenhersteller hier für einen großen Teil der Formate die Lösungen, die andere die bereits Parser / Interpreter / etc für bestimmte Dateitypen entwickelt haben
Hat der originale Vendor nun eine Sicherheitslücke, betrifft diese auch Antivirenprodukte.

Man kann das sogar noch weiter fassen. Antivir schafft Vulnerabilität wo vorher keine war. Ich zum Beispiel hab kein MS-Office bei mir auf dem Rechner. Wenn ich also irgendwie ne Word-Datei kriege und die hat Makroviren oder sonstwas, dann macht mir das nix aus weil ich die Datei eh nicht "auf machen" kann.
Aus einer Null-Gefährdung wird durch Antivir plötzlich eine potentielle Sicherheitslücke.

Und wie Du schon schön sagtest. Antivir parst alle möglichen Dateiformate. Vermutlich sind die meisten davon für viele Anwender überhaupt nicht relevant und die bekommen damit eine Gefährdungspotential rein, was sie sonst überhaupt nicht hätten.

 

[abulafia]

Also in der aktuellen c't ist ein Artikel zu Pi-Hole, AdGuard Home und eBlocker. Die seien alle Quelloffen. Ich gehe mal davon aus, dass man AdGuard grundsätzlich als seriös einstufen kann. Bei einem externen DNS-Resolver fallen immer bestimmte Nutzungsdaten an.
https://adguard-dns.io/de/privacy.html


Um beim Thema zu bleiben: Wieso soll das von dir so genannte "Parsen" gefährlich sein, und wie kommst du überhaupt darauf das Avira so vorgeht? Kannst du das mal näher erläutern? Ist das nicht alles Closed Source?
Wenn man eine Datei irgendwie anpackt, ist das nicht auch schon gefährlich? Dann landet die ja irgendwie im Speicher? Dann ist der ja irgendwie auch verseucht? Mir fehlen gerade die Buzzwords um mein Unverständnis auszudrücken.

Wieso ist denn gerade der Defender besser? Der hat genauso schon alle Skandale hinter sich und bewiesen, das MS hier genauso fehleranfällig arbeiten kann wie die Konkurrenz.

Empfehlt ihr jetzt in der Praxis gar keine AV Lösung zu benutzen? Ist mir nicht ganz klar geworden ob das eine theoretische Diskussion ist, oder man jetzt so in Reallife unter Windows darauf verzichten soll. Gilt das für jeden? Dann wäre es ja echt schlimm, dass MS überhaupt den Defender ins System integriert bzw. dass er überhaupt existiert.

Anleitung zum Ausschalten: https://www.heise.de/tipps-tricks/Windows-Defender-deaktivieren-so-klappt-s-4030040.html

Das BSI rät nicht unbedingt von Virenscannern ab. Warum positionieren die sich nicht, wenn die Lage so klar ist?
https://www.bsi.bund.de/DE/Themen/V...chutzprogramme/virenschutzprogramme_node.html

Was ist davon zu halten:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=windows+defender

 

[JX666]

Defender + uBlock + etwas brain.exe reicht in der Regel vollkommen


Eher peinlich als lustig

Dem würde ich zustimmen, allerdings bin ich kein Fan von "brain.exe". Ich denke es macht Sinn, dass weiter auszuführen, damit nicht IT-Affine Menschen damit auch etwas anfangen können. Beispielsweise: Nicht auf jeden Link klicken, nicht jeden E-Mail Anhang öffnen etc.

Zusätzlicher Virenschutz wird heute eher als Sicherheitsrisiko betrachtet. Im besten Fall macht er nichts kaputt oder stellt keine Bedrohung dar.

Das trifft es ganz gut

Viele Grüße

 

[andy_m4]

Wieso soll das von dir so genannte "Parsen" gefährlich sein

Weils halt sehr fehleranfällig ist und man sich da gerne Overflows u.ä. einfängt was dann zu Sicherheitslücken führt. Das ist jetzt auch keien theoretische Überlegung oder so, sondern viele Bugs und sicherheitsrelevante Lücken die in der Praxis in den letzten Jahrzehnten aufgetaucht sind lassen sich darauf zurückführen.

Man kann den Parsing-Prozess sicher gestalten. Das geschieht leider aber immer noch nicht oft genug. Abgesehen davon ziehen einige Techniken die man anwenden auch den erhöhten Verbrauch von Hardware-Ressourcen nachsich. Ums platt zu sagen: Dein Scanning wird langsamer. Wenn irgendwie durch Word eine Datei eingelesen wird und das dauert ne halbe Sekunde länger kann man damit leben. Bei einem Virenscanner der tausende von Dateien durchscannt wird das eher nicht so akzeptiert.

und wie kommst du überhaupt darauf das Avira so vorgeht?

Naja. Die Lücken werden ja (zumindest zum Teil) public und daraus lässt sich schon Einiges ableiten.

Wenn man eine Datei irgendwie anpackt, ist das nicht auch schon gefährlich?

Naja. Alleine vom lesen wird eine Datei nicht gefährlich. Die Probleme treten dann auf, wenn man den Inhalt (in welcher Weise auch immer) interpretiert.

Wieso ist denn gerade der Defender besser?

Der Defender ist nicht grundsätzlich besser was das angeht. Das war auch damit nicht gemeint.
Das zielte eher darauf ab, das manche ja Dritt-Anbieter-Antvir nehmen weil sie Microsoft nicht trauen, was natürlich völlig Banane ist. Denn wenn ich eh schon Windows fahre dann ist ja mein Computer schon durchsetzt mit Microsoft-Software. Da irgendwie beim Virenscanner gegenzusteuern hilft da nicht weiter.

Empfehlt ihr jetzt in der Praxis gar keine AV Lösung zu benutzen?

Kann man machen. Hängt natürlich auch etwas von Nutzungsverhalten ab. Und auch auf die Art wie man AV-Software einsetzt kann man ja darauf einwirken.

Die Frage ist ja ohnehin etwas verkürzt. Denn mit AV weglassen alleine ist es ja nicht getan. Ist ja eher die Frage, was kann man für Computersicherheit tun. Und da gibts halt viele Möglichkeiten. Und je nachdem wie und wo entfällt dann die Notwendigkeit von AV-Software.

Dann wäre es ja echt schlimm, dass MS überhaupt den Defender ins System integriert bzw. dass er überhaupt existiert.

Ja. Ist es auch.
Ich vermute man das ist so ein bisschen wie bei den "Zwangs-Updates". Es würde sonst "keiner" machen bzw. sogar absichtlich unterbinden. So ähnlich ist es mit dem Defender. Die Leute hätten sonst gar keinen Sicherheitsschutz und der AV-Software ist jetzt vielleicht nicht besonders gut aber bevor viele Leute gar nix machen ist das besser als nix.

 

[abulafia]

Ich hab nochmal überlegt. Bin ja eher skeptisch was den Verzicht auf Sicherheitslösungen angeht. Intuitiv würde ich sagen, dass ein Verzicht auf eine AV-Lösung alles andere als pragmatisch ist.

Deine Überlegungen sind ja sinnvoll, aber Windows ist kein perfektes System. Man muss hier genau hinschauen. Am Ende muss man abwiegen, ob die AV-Lösung mehr Lücken schafft als sie stopft.

 

[PC295]

Lohnt sich heute noch ein zusätzliches Antivirenprogramm, oder reicht nach wie vor die Standardsicherung von Microsoft aus?

Mit der Installation eines Antivirenprogrammes holst du dir keinen zusätzlichen Schutz auf System.
Denn sobald ein anderes Antivirenprogramm installiert wird, wird der Defender deaktiviert.

Welches AV du bevorzugst hängt von deinen Bedürfnissen ab, z.B. Funktionen die du benötigst oder wie es sich konfigurieren lässt. So bringt der Defender z.B. einen Adware-Schutz mit, jedoch ist er standardmäßig deaktiviert. Eine entsprechende Einstellung fehlt im UI. Generell kann der Defender nur per Registry, GPO oder Powershell konfiguriert werden. Das ist also alles andere als nutzerfreundlich.
Microsoft ist da der Meinung, dass das für die meisten Nutzer reicht und mehr Einstellungen den Nutzer überfordern könne. Deswegen verschwinden auch immer mehr Einstellungen aus der Systemsteuerung...

Auch in anderen Bereichen ist der Defender nicht perfekt.
So ist er bei der Performance seit Jahren Schlusslicht und kann die Zeit von Kopiervorgängen oder Installationen verdreifachen.

Die Erkennung läuft primär über die Cloud. Wenn also keine Internetverbindung besteht bzw. Online-Funktionalitäten des Defenders deaktiviert wurden liegt die Erkennungsrate gerade mal bei 60%.

 

[BFF]

Die Erkennung läuft primär über die Cloud. Wenn also keine Internetverbindung besteht bzw. Online-Funktionalitäten des Defenders deaktiviert wurden liegt die Erkennungsrate gerade mal bei 60%.

Was aber bei anderen AV Lösungen auch nicht mehr viel anders ist.

Ist auch nicht so wahnsinnig schlimm. Was soll erkannt werden muessen per Cloud für Neuartiges in der Zeit wo die Kiste Offline ist? Der gerade gefundene USB Stick wird es nicht sein. 😉
Alter bekannter Krams erledigen die bereits geladenen Signaturen.

Woher hast Du die 60%?

 

[andy_m4]

Mit der Installation eines Antivirenprogrammes holst du dir keinen zusätzlichen Schutz auf System.
Denn sobald ein anderes Antivirenprogramm installiert wird, wird der Defender deaktiviert.

Hängt ein bisschen von ab. Bei den Defender-deaktiviert-Geschichten geht es vor allem um On-Access-Scans. Alles andere dürfte eher nicht betroffen sein.

Generell kann der Defender nur per Registry, GPO oder Powershell konfiguriert werden.

Wenn man eh schon da rum fummelt, kann man auch gleich Software-Restriction-Policies einsetzen. Das hilft schon mal recht zuverlässig gegen diesen ganzen rechnung.pdf.exe - Kram und Ähnliches.

Microsoft ist da der Meinung, dass das für die meisten Nutzer reicht und mehr Einstellungen den Nutzer überfordern könne.

Was auch nur konsequent ist. Denn wir sich auskennt fährt wohl kaum ein Windows. ;-)

So ist er bei der Performance seit Jahren Schlusslicht und kann die Zeit von Kopiervorgängen oder Installationen verdreifachen.

Möglicherweise deshalb, weil der Defender die gelesenen Daten erst mal brav in seine Sandbox reintut und dort analysiert während die Third-Party-Konkurrenz das alles im schnelleren (aber auch sehr viel unsicheren) Kernel-Mode macht.

Erkennungsrate gerade mal bei 60%.

Irgendwelche postulierten Erkennungsraten sind generell dünnes Eis.

 

[PC295]

Woher hast Du die 60%?

https://www.av-comparatives.org/tests/malware-protection-test-march-2022/

 

[BFF]

Oh Boy.
Ausgerechnet von denen. 🤪