Vergleich: Sicherheitspakete für Windows (Virenscanner mit Firewall)
Sobald ein PC mit dem Internet verbunden ist, droht die Gefahr eines Befalls mit Schadsoftware. Dass es zu Angriffen kommt, ist heute längst keine hypothetische Möglichkeit mehr sondern absolute Gewissheit. Bereits der Versuch, einen Rechner ohne entsprechende Sicherheitssoftware zu installieren und diese nachträglich aus dem Internet zu laden, ist heute zum Scheitern verurteilt.
Bereits während der Downloadphase für die Sicherheitssoftware wird der ungeschützte Rechner mit sehr hoher Wahrscheinlichkeit infiziert werden. Daher kann bereits an dieser Stelle der erste wichtige Tipp gegebene werden: Ist eine Neuinstallation des PC geplant, sollte unbedingt vorher ein aktueller Virenscanner herunter geladen werden, damit die Installation erfolgen kann, bevor der frische installierte Rechner online geht.
Welche Gefahren drohen?
Es existieren sehr viele unterschiedliche Varianten so genannter Malware. Unter diesem Begriff werden die unterschiedlichen Arten schädlicher Software zusammengefasst. Die klassische Malwarevariante ist der Computervirus, der in rein destruktiver Absicht programmiert und in Umlauf gebracht wird. Die Schadensfunktionen solcher Viren sind sehr unterschiedlich, häufig werden beispielsweise Dateien gelöscht oder manipuliert. Häufiger anzutreffen ist heute so genannte Crimeware.
Solche Programme verfolgen im Gegensatz zu klassischen Viren nicht das Ziel, auf dem befallenen Rechner einen möglichst großen und offensichtlichen Schaden zu verursachen, sondern sollen einen unbemerkten Zugriff auf sensible Daten ermöglichen. Ziel sind meist Anmeldeinformationen für das Online Banking oder auch für Online Auktionsplattformen, um unter der auf diese Weise gestohlenen Online Identität betrügerische Transaktionen durchzuführen. Dabei werden unterschiedliche Methoden angewandt. So wird beispielsweise beim so genannten Pishing der Anwender unbemerkt auf eine Internetseite der Betrüger umgeleitet, auf der er dann seine Anmeldeinformationen eingibt. Während die klassische Variante des Pishing über E-Mails erfolgte, in denen unter gefälschter Absenderadresse ein Link auf die betrügerische Internetseite versandt wurde, basieren modernere Verfahren auf einer direkten Umleitung der Verbindung durch Manipulation des Browsers. Diese Variante ist erheblich gefährlicher, da sie nicht auf eine aktive Mitwirkung des Anwenders angewiesen ist und daher nicht durch umsichtiges Verhalten umgangen werden kann. Eine weitere Crimeware Variante stellen so genannte Backdoor Programme dar. Diese installieren sich unbemerkt auf dem befallenen Rechner und öffnen eine „Hintertür“, die einen unerlaubten Zugriff auf den Rechner über das Internet erlaubt.
Des Weiteren sind Keylogger im Umlauf, mittels derer Tastatureingaben mitprotokolliert und unbemerkt über das Internet versandt werden. Auf einem ähnlichen Prinzip basieren Programme, die heimlich Screenshots anfertigen, um diese anschließend zu versenden. Angesichts dieser vielen Gefahren ist ein wirkungsvoller Schutz des PC unerlässlich.
Der Virenscanner als zentrale Sicherheitskomponente
Der Virenscanner übernimmt eine zentrale Funktion im Sicherheitskonzept für den PC. Seine Aufgabe besteht darin, schädliche Software zu erkennen und unschädlich zu machen. Zwar erlauben alle Virenscanner, einen kompletten Scan der Festplatte durchzuführen, aber diese Methode ist von nur untergeordneter Bedeutung, da sie sehr zeitaufwändig ist und daher nur in größerem zeitlichen Abstand wiederholt werden kann. Die wichtigste Funktion des Virenscanners ist der Echtzeitscan, der jede von der Festplatte gelesene Datei untersucht. Dieses Vorgehen trägt der Tatsache Rechnung, dass keine Software Schäden anrichten kann, solange sie ungelesen auf der Festplatte gespeichert ist.
Wenn also sichergestellt ist, dass die Malware beim Lesen von der Festplatte entdeckt wird, genügt das vollauf. Bei der Erkennung von Viren und anderer Schadsoftware spielt die so genannte Virendefinitionsdatei eine entscheidende Rolle. In dieser Datei sind Informationen über alle bekannten Viren enthalten, wodurch sichergestellt wird, dass diese Viren zuverlässig unschädlich gemacht werden. Da täglich neue Viren in Umlauf gebracht werden, ist eine regelmäßige Aktualisierung dieser Datei unerlässlich. Alle Anbieter von Antivirensoftware bieten eine automatische Aktualisierung an, weswegen sich der Anwender nach der Installation der Software darum in der Regel nicht mehr zu kümmern braucht.
Heuristische Scans
Der Nachteil des geschilderten Verfahrens besteht offenkundig darin, dass auf diese Weise nur bereits bekannte Viren entdeckt werden können. Um den Virenautoren einen Schritt voraus zu sein wäre es erforderlich, dass der Virenscanner auch bislang unbekannte Viren als solche erkennt. Der Konjunktiv ist durchaus angebracht, denn dies gelingt nur mit Einschränkungen. Die Methode, mit der dies zu erreichen versucht wir, ist der „heuristische Scan“. Während die Suche nach bekannten Viren heute eine Standardaufgabe ist, die alle Hersteller von Antivirensoftware perfekt beherrschen, zeigen sich bei der Erkennung unbekannter Viren deutliche Qualitätsunterschiede.
Der Anwender ist gut beraten, vor der Auswahl eines Produktes einige der zahlreichen im Internet publizierten Testergebnisse zu Rate zu ziehen und dabei insbesondere auf die Qualität des heuristischen Scans zu achten. Heuristische Scans untersuchen ausführbare Dateien daraufhin, ob sie verdächtige Aktionen durchführen. Dazu gehören beispielsweise bestimmte Arten von Lese- und Schreibvorgängen auf den Festplatten. Dies verdeutlicht zugleich das Problem heuristischer Scans. Ein Befehl zur Formatierung einer Festplatte oder zur Manipulation einer Datei begründet einen Verdacht, allerdings kommen solche Aktionen auch in normalen Softwareprogrammen vor. Daher erfordert die Entwicklung heuristischer Scanner eine schwierige Abwägung: Entweder wird das Risiko im Kauf genommen, einen Virus zu übersehen oder es werden derart scharfe Kriterien angelegt, dass es zu vielen Fehlalarmen kommt.
Die genaue Vorgehensweise der unterschiedlichen heuristischen Scanner gehört zu den gut behüteten Geschäftsgeheimnissen der Anbieter, weswegen ein Vergleich nur anhand der in Tests erzielten Ergebnisse vorgenommen werden kann.
Remote Scans
Der Terminus „remote Scan“ ist eigentlich für Virenscanner nicht gebräuchlich, er wird hier als Oberbegriff für solche Scanverfahren benutzt, die Malware (Viren, Trojaner und andere Schadsoftware) erkennen sollen, bevor sie den Rechner erreicht. Diese stellen übrigens meistens einen wesentlichen Unterschied zwischen den kostenlos erhältlichen Basisversionen und den kostenpflichtigen Vollversionen von Virenscannern dar. Nur letztgenannte bieten im Normalfall diese wichtige Funktion. Angewandt wird dieses Verfahren beispielsweise bei E-Mail Postfächern. Die kostenpflichtigen Versionen einiger Virenscanner prüfen die Mails, bevor sie auf den Rechner herunter geladen werden. Auch beim Surfen im Internet werden solche Scans durchgeführt. So untersuchen einige Virenscanner auf einer Internetseite vorhandenen Links, bevor der Anwender diese anklickt und klassifizieren sie als gefährlich oder ungefährlich.
Die Firewall als zweite zentrale Komponente
Neben dem Virenscanner ist eine Firewall die zweite zentrale Komponente der Sicherheitsarchitektur eines PC. Um einen weit verbreiteten Missverständnis gleich zu Beginn entgegenzutreten: Die Aufgabe einer Firewall besteht nicht darin, bestimmte unerwünschte Verbindungen zwischen dem PC und dem Internet zu unterbinden. Aufgabe der Firewall ist es vielmehr, sämtliche Typen von Verbindungen zum Internet zu unterbinden, die nicht ausdrücklich erlaubt worden sind.
Verbindungen werden über die Portadresse klassifiziert. Dabei handelt es sich einfach um eine Zahl, die beim Verbindungsaufbau zusammen mit der Adresse übermittelt wird. Es ist üblich (aber keineswegs zwingend), dass sich alle Rechner an eine allgemeine Verabredung halten, welcher Internetdienst über welche Portadresse kommuniziert. So nutzt beispielsweise http die Portnummer 80. Deswegen wird eine Firewall Verbindungen über diesen Port gestatten, wenn der Rechner mit dem Internet Verbunden ist. Aus ähnlichen Gründen werden weitere Ports geöffnet, die beispielsweise für die Kommunikation mit einem Mailserver benötigt werden. Alle nicht ausdrücklich geöffneten Ports bleiben durch die Firewall gesperrt.
Ursprünglich waren Firewalls ausschließlich als Netzwerk Firewalls konzipiert, die auf extra für diesen Zweck vorgesehenen Rechnern betrieben wurden, die zwischen das Internet und die zu schützenden PCs geschaltet wurden. Mittlerweile sind Personal Firewalls weit verbreitet, die auf dem zu schützenden PC selbst installiert werden.
Personal Firewalls
Eine Personal Firewall gehört heute zur Standardausstattung eines Internet PC. Windows Betriebssysteme enthalten eine solche Firewall. Ein wesentliches Problem von Personal Firewalls besteht darin, dass Ihre Konfiguration in der Verantwortung des Anwenders selbst liegt. Einige User verfügen über das dazu erforderliche Wissen, bei vielen anderen wird dies nicht der Fall sein. Soll beispielsweise der Port 110 geöffnet bleiben oder vielleicht doch besser gesperrt werden? Wer nicht weiß, dass über diesen Port mit einem POP3 Postfach kommuniziert wird, ist mit dieser Entscheidung sicherlich überfordert.
Alternativ zu der im Windows Betriebssystem integrierten Firewall können auch Firewalls anderer Anbieter genutzt werden. Wie bei Virenscannern kann auch hier zwischen Freeware Varianten und kostenpflichtigen Vollversionen gewählt werden. Auch für diese Produkte lassen sich im Web problemlos viele Testberichte finden. Als Grundtenor lässt sich feststellen, dass die Unterschiede zwischen den Gratis- und den Vollversionen hier geringer ausfallen als bei Virenscannern.
Ohnehin widersprechen Personal Firewalls eigentlich der Grundidee einer Firewall, die darin besteht, dass unerwünschte Datenpakete das zu schützende System gar nicht erreichen sondern vorher abgefangen werden sollen. Vieles, was in den Testberichten bemängelt wird, ist in Wahrheit diesem Umstand geschuldet und letztlich nicht vermeidbar.
So muss beispielsweise festgehalten werden, dass eine Personal Firewall keinen Virenscanner ersetzen kann. Die Logik dieser Aussage ist denkbar einfach: Da der Anwender die Konfiguration der Firewall ändern kann, kann ein Virus das theoretisch auch tun. Ein Virus wird – wie jedes andere Programm auch- mit den Benutzerrechten des Users ausgeführt, der das Programm aufgerufen hat. Deswegen muss die Firewall durch einen Virenscanner vor einem Angriff „von innen“ geschützt werden. Sie selbst kann das nicht leisten.
Weil eine Personal Firewall ein Programm wie jedes andere ist, kann sie selbst auch zum Ziel von Angriffen werden. So sind beispielsweise im Internet einfache Scripte verfügbar, die jedes von einer Personal Firewall geöffnete Popup Fenster automatisch mit „OK“ quittieren.
Wird auf dem Rechner ein solches Script ausgeführt, wird er Anwender Meldungen der Art „Programm xyz möchte eine Verbindung zum Internet aufbauen. Möchten Sie diese Verbindung zulassen?“ gar nicht mehr zu sehen bekommen, weil sie binnen Sekundenbruchteilen mit „OK“ bestätigt wird. Ebenso kann eine Personal Firewall mittels eines einfachen Programms angegriffen werden, das den entsprechenden Prozess einfach beendet.
Trotz aller im Konzept der Personal Firewall begründeten Sicherheitslücken ist jedoch festzustellen, dass eine solche Firewall die Sicherheit eines Rechners deutlich verbessert. Sie stellt eine weitere Hürde für Angreifer dar, die zunächst mit erheblichem Aufwand überwunden werden muss. Auch wenn diese Hürde letztlich überwindbar ist, besteht kein Grund, darauf zu verzichten.
DSL Firewalls
Ein spezieller Typ der Netzwerk Firewall, die auch für den heimischen PC von Interesse ist, ist die DSL Firewall. Solche Hardware Firewalls werden meist als Kombigeräte aus DSL-Modem, Router und Firewall angeboten. Angesichts der Probleme, die sich durch eine auf dem Rechner selbst installierte Firewall ergeben, wird die Sicherheit durch eine solche Firewall deutlich verbessert. Insbesondere für Anwender, die mit einem einfachen DSL Modem ohnehin nicht auskommen, weil sie möglicherweise mehrere Rechner in einem Heimnetzwerk betreiben wollen, bietet sich diese Lösung an, weil sie in diesem Fall keine zusätzliche Anschaffung bedeutet. Ein wesentlicher Vorteil dieser Firewalls besteht darin, dass sie NAT (Network Address Translation) nutzen. Dies bedeutet, dass die Verbindung zum Internet unter einer anderen Adresse als der des Computers aufgebaut wird und dessen Adresse nach außen nicht sichtbar wird. Auf diese Weise werden viele (aber nicht alle!) der möglichen Angriffe auf einen PC verhindert.