Heute war ich in in unserer Poststelle, um mir ein paar neue Briefmarken zu kaufen.
Auf dem Tresen am Schalter stand ein Karton mit AVG Internet Security sowie TuneUp Utilities 2017.
Da kann man nur den Kopf, welche Wege benutzt werden, um den Leuten das Zeugs anzudrehen.
Xdata 
pappnasen „Wie blöd ist das denn?“
Es dauert noch Jahre bis es durch ist, so fremde Virenscanner, gewisse Tools .. usw.
mehr schaden als nutzen!
Selbst Institute, Behörden, Firmen .. nutzen das, obwohl jedes nicht systeminterne dieser
"Programme" die Angriiffsmöglichkeit erhöht.
Auch wenn die in speziellen Situationen mal etwas detektieren können
-- bLOCKen meist nicht mehr, da es dann schon zu spät ist!
Es bleibt also nur
das benutzte Betriebssystem so aktuell mit Sicherheitsupdates zu versorgen wie es geht.
Was das Betriebsystem selbst nicht leistet bzw. deren Macher,
kann auch durch noch so vermeintlich scharfe und strenge Fremde Tools
nicht sicher gemacht werden.
Mehr noch, einer fremden Software werden systemnahe Rechte gegeben die
nur das Betriebssystem selbst haben sollte, treffender darf.
mawe2 Xdata „Es dauert noch Jahre bis es durch ist, so fremde Virenscanner, gewisse Tools .. usw. mehr schaden als nutzen! Selbst ...“
Es dauert noch Jahre bis es durch ist, so fremde Virenscanner, gewisse Tools .. usw. mehr schaden als nutzen!
Inzwischen wird schon in den Mainstream-Medien darüber berichtet:
https://www.zdf.de/politik/frontal-21/luecken-bei-antiviren-software-100.html
Natürlich werden solche Tools nicht von jetzt auf gleich verschwinden.
Aber die Zeiten, in denen die obige Erkenntnis ausschließlich in Fachkreisen bekannt war, sind vorbei. So langsam wird sich die Erkenntnis auch bei den gewöhnlichen Benutzern herumsprechen.
Selbst Institute, Behörden, Firmen .. nutzen das
Dort aber häufig zum Selbstschutz der Administratoren.
Solange die globale Meinung noch vorherrscht, dass solche Programme zur Pflichtausstattung gehören, können Admins gar nicht drauf verzichten, selbst wenn sie es besser wissen.
Und machen wir uns nichts vor: In größeren Einrichtungen gibt es immer auch User, die sicherheitstechnisch groben Unsinn machen. Wenn ein AV-Programm auch nur eine solche Infektion verhindert, hat es sich in den Augen der Verantwortlichen schon gelohnt. Die dabei entstehenden Kollateralschäden werden oft gar nicht bemerkt und führen daher auch nicht zu einer Abkehr von solchen AV-Programmen.
Gruß, mawe2
Andreas42 mawe2 „Inzwischen wird schon in den Mainstream-Medien darüber berichtet: ...“
Hi!
Betrachten wir mal Netzwerke mit mindestens 100 Rechner, die aktiv genutzt werden.
Dort aber häufig zum Selbstschutz der Administratoren.
Das gilt durchaus, wie eigentlich jede Schutz- und Backupvorrichtung hauptsächlich dazu gedacht ist, den Administratoren die Arbeit durch möglichst häufiges Nichtnutzenmüssens zu erleichtern.
Das bei meinem Arbeitgeber eingesetzt Sicherungskonzept besteht vereinfacht gesagt aus drei Komponenten/Funktionen: Filtern, Backup und Updates
Zu Filtern zähle ich die zentrale Firewall und den Virenscanner. Hauptaufgabe ist über einen Proxy den internetverkehr zu filtern. Sichtbarste Funktion sind Filter auf Begriffe in URLs (z.B. "game" und "facebook" (damit meine ich, das was dem Anwender am häufigsten Auffällt).
Zweites Hauptgebiet für die Filterfunktionalität ist der interne Mailserver. Da kommt dann der Virenscanner ins Spiel, der hier ebenfalls hauptsächlich durch Filterung auffällt (z.B. indem er EXEs und ZIP-Archive nicht durchlässt).
Soweit ich weiß sind die Virenscanner auf den PCs quasi ein Abfallprodukt des zentralen Scanners auf dem Mailserver. Das wird halt über Lizenz Vereinbarungen mit eingekauft. Solange das auch nur ein schadhaftes Script blockt, dass vom Proxy nicht gefiltert wurde, hat sich der Mist bezahlt gemacht (zumal dass in den reinen Betriebskosten der ganzen EDV betragsmäßig untergeht).
Die dabei entstehenden Kollateralschäden werden oft gar nicht bemerkt und führen daher auch nicht zu einer Abkehr von solchen AV-Programmen.
Das ganze Auslegen eines Sicherheitskonzepts einer Firma ist ein Abwegen zwischen Schutzfunktionen und Kosten. Die Frage ist weniger ob Kollateralschäden auftreten, sondern eher, ob sie beherrschbar sind. Die Betrachtung unterscheidet sich nicht von "normalen" Schäden.
Die Frage ist immer, was kann schlimmsten Falls passieren? Dann, wie schnell kann ich den Schaden beheben? Und letztendlich was kosten mich Behebung und Vorsichtsmaßnahmen?
Man beurteilt das Risiko und wiegt es gegen die Kosten der Schutzmaßnahmen und der möglichen Folgekosten ab.
Dabei ist man sich bewusst, dass man sowieso nicht jeden Schaden verhindern kann, daher hat der Punkt Schadensbehebung und -begrenzung eine herausragende Bedeutung (dahinter verbirgt sich dann letztendlich auch das Backupkonzept - eine weitere extrem wichtige Schutzsäule und vermutlich die kostenintensivere Seite des ganzen Schutzkonzeptes).
Bei einem Fertigungsunternehmen (wie bei meinem Arbeitgeber) steht weniger der Schutz vor Schädlingen im Mittelpunkt der Betrachtung, sondern die Bedeutung der EDV für die Produktion. Wir gehen davon aus, dass wir in unserem speziellen Fall ganze 24h ohne die zentrale ERP-Hard&Software auskommen können. Das steckt den Rahmen für alle weiteren Überlegungen ab.
Das ist keine reine Theorie mehr, seit wir vor wenigen Wochen ein Feuer hatten: die Batterien der zentralen USV hatten durch einen Kurzschluss Feuer gefangen und die Löschanlage im Serverraum ausgelöst (die natürlich auch zum Sicherungskonzept gehört). Vorteil: es war Abends. Am nächsten Morgen waren die Hauptserver wieder angefahren und der Fertigungsbetrieb konnte halbwegs normal arbeiten.
Das ist ein Extremfall, aber er gehört mit zu den Szenarien, die das Sicherheitskonzept abdecken muss. Schädlingsbefall gehört natürlich auch dazu, ist aber niedriger angesiedelt, weil die Hardware danach ja immer noch zur Verfügung steht (ohne Ausfallzeit, wie bei einem Brand).
Natürlich hatten wir auch schon typische Verschlüsselungstroyaner. Größtes Problem ist den Rechner zu finden, auf dem das Teil läuft und den schnellstmöglich zu isolieren. (Bedeutet in der Praxis: Stromstecker ziehen).
Die Teile verschlüsseln auch Konstruktionszeichnungen und Geschäftsdokumente. Einzige Abhilfe war hier das identifizieren der verschlüsselten Dateien und Rückspielen aus der Sicherung. (Das war ausreichend und vom Sicherungskonzept her so abgedeckt.)
Bei solchen Problemen wird ja nun gerne gefordert auf Virenscanner zu verzichten, weil sie den Schaden nicht verhindern konnten. Im ersten beschriebenen Beispiel hätten wir jetzt eigentlich die USV rauswerfen müssen, weil sie das Problem verursacht und nicht verhindert hat.
In meinen Augen ist beides nicht sinnvoll. Die USV schützt auch vor Stromschwankungen. (In der Praxis haben wir mehrere Wochen ohne USV gearbeitet - die Gefahr war uns bewusst, aber auch nur der EDV-Abteilung).
Soll man im Vergleich jetzt auf den Virenscanner verzichten? Er kostet zwar fast nichts, hat aber hier auch definitiv nicht geholfen (was aber auch keiner erwartet hat - wir wissen schließlich alle, wie die Dinger - zeitverzögert - schützen können).
Unsere Einstellung ist aber auch, dass die Aufgabe des Virenschutz das Filtern von alten bekannten Schädlingen ist. Jeder alte Schädling, der davon rausgefiltert wird, ist ein Problem weniger, um dass man sich als Administrator in einem Unternehmen kümmern muss (das ist eine reine Kosten/Aufwand/Nutzen-Betrachtung).
Solange die globale Meinung noch vorherrscht, dass solche Programme zur Pflichtausstattung gehören
Das regelt weniger die eigene Meinung, sondern das, was als "Stand der Technik" bezeichnet bzw. betrachtet wird. Der Gesetzgeber erwartet dass man den "Stand der Technik" folgt, wenn es um Sicherheitsaspekte im Zusammenhang mit technischen Geräten und Anlagen geht.
https://de.wikipedia.org/wiki/Stand_der_Technik
Das ist meiner Meinung nach im Zusammenhang mit der Maschinenrichtlinie zu verstehen:
https://de.wikipedia.org/wiki/Richtlinie_2006/42/EG_(Maschinenrichtlinie)
Ich bin jetzt auch nur Laie, was den genauen rechtlichen Hintergrund angeht und evtl. mögliche Verstöse angeht.
Als Beispiel für die Verknüpfung hier ein Link der die Bedeutung des Begriffes "Stand der Technik" für Datenschutz beschreibt:
https://www.datenschutz-praxis.de/fachartikel/stand-der-technik/
Hier geht es um Sicherheitsaspekte:
https://www.teletrust.de/publikationen/broschueren/stand-der-technik/
Im Verlinkten Dokument werden Virenscanner explizit erwähnt.
Bis dann
Andreas
mawe2 Andreas42 „Hi! Betrachten wir mal Netzwerke mit mindestens 100 Rechner, die aktiv genutzt werden. Das gilt durchaus, wie eigentlich ...“
Hauptaufgabe ist über einen Proxy den internetverkehr zu filtern.
Das ist aber ein gänzlich anderes Konzept als das, was auf den meisten Privatrechnern (oder in kleinen Netzen kleinerer Firmen) genutzt wird.
Problematisch ist ja gerade die lokale Installation von AV-Software. Dass Proxy-Filter Sinn machen, steht völlig außer Zweifel!
Zweites Hauptgebiet für die Filterfunktionalität ist der interne Mailserver. Da kommt dann der Virenscanner ins Spiel, der hier ebenfalls hauptsächlich durch Filterung auffällt (z.B. indem er EXEs und ZIP-Archive nicht durchlässt).
Die generelle Filterung von (z.B.) EXE-Dateien hat nichts mit der Funktionalität eines Virenscanners zu tun!
Virenscanner sollen ja nur die gefährlichen EXE-Dateien blockieren, eine generelle Blockade von EXE-Dateien betrifft aber auch die gutartigen Exemplare!
Aber natürlich ist eine generelle Filterung von EXE-Dateien in großen Netzwerken durchaus als Sicherheitsmaßnahme sinnvoll.
Die Frage ist weniger ob Kollateralschäden auftreten, sondern eher, ob sie beherrschbar sind.
Die Frage ist zuallererst, ob die Schäden überhaupt bemerkt werden. Denn nur dann kann man anfangen, sie zu beherrschen.
Wenn fehlerhaft funktionierende lokale AV-Software zum stillen Abfluss von Firmengeheimnissen führt, kann das u.U. nie oder erst nach Jahren bemerkt werden. Der dann eintretende Schaden (z.B. in Form von Konkurrenzprodukten aus Fern-Ost) wird höchstwahrscheinlich nie mit der früheren Fehlfunktion eines einzelnen lokalen AV-Programms in Verbindung gebracht!
Soll man im Vergleich jetzt auf den Virenscanner verzichten?
Jein!
Auf Drittanbieterprodukte sollte in jedem Falle verzichtet werden, der windows-interne Virenscanner darf bleiben!
Ebenso dürfen spezielle Offline-Virenscanner zur genauen Untersuchung befallener Datenträger bleiben. Das sind dann aber Programme, die der Admin nur bei Bedarf einsetzt und keine permanent installierten Sicherheits-Saboteure.
Das regelt weniger die eigene Meinung, sondern das, was als "Stand der Technik" bezeichnet bzw. betrachtet wird.
Ja. Wobei dieser "Stand der Technik", der hier angenommen wird, strenggenommen der von vor 20 Jahren ist. Heute ist es eben genau nicht mehr "Stand der Technik", dass man mit einer AV-Suite einen lokalen Rechner schützen kann, aber die landläufige Meinung vieler Laien geht immer noch in diese Richtung, wohingegen die Argumente von Experten schlicht ignoriert werden.
Das Hauptproblem ist doch, dass es nicht DIE SICHERHEITSLÖSUNG (also das allgemeingültige Sicherheitskozept) gibt sondern dass die Sicherheit von IT-Anlagen und -Verfahren immer speziell auf den jeweiligen Anwendungsfall zugeschnitten sein muss. (Das hast Du ja mit Deinem Beispiel auch ausführlich geschildert.)
Die Krux mit den AV-Programmen ist nun die, dass die Werbe-Aussagen immer noch lauten: "Kauf unser Produkt und Dein Rechner ist 100%ig sicher!".
Nicht die Mängel oder die Fehlfunktionen solcher Programme sind das Problem sondern die jahrelange Verbreitung von Lügen, Halbwahrheiten und Übertreibungen in den Werbebotschaften der Hersteller.
Diese haben einen Großteil der User schlicht und einfach von den wirklich wichtigen Schutzmaßnahmen abgelenkt und die Leute unfähig gemacht, sich selbst über ihre Sicherheit Gedanken zu machen.
Stattdessen wird die Verantwortung für die eigene Sicherheit an ein bestimmtes Tool delegiert und alles andere wird ignoriert.
Gruß, mawe2
Andreas42 mawe2 „Das ist aber ein gänzlich anderes Konzept als das, was auf den meisten Privatrechnern oder in kleinen Netzen kleinerer ...“
Hi!
Die generelle Filterung von (z.B.) EXE-Dateien hat nichts mit der Funktionalität eines Virenscanners zu tun!
Bitte beachte, dass ich das vorher unter nur drei Funktionen gruppiert habe: Filtern, Backup und Updates
Wenn ich schon solche groben Kriterien aufstelle, darf ich auch festlegen, was darunter zusammengefasst wird. 
Wenn fehlerhaft funktionierende lokale AV-Software zum stillen Abfluss von Firmengeheimnissen führt, kann das u.U. nie oder erst nach Jahren bemerkt werden.
Das ist ein sehr guter Punkt, den ich absichtlich außen vor gelassen habe. Meine Antwort war einfach auch so schon zu lang.
Die Sache ist eigentlich recht einfach: Abfluss von Knowhow lässt sich leider auch nicht unterbinden, nur verzögern.
Bist du als Unternehmen mit Neuentwicklungen auf einer Fachmesse, kann jeder sich die Sache ansehen. Im Maschinebau von größeren Spezialmaschinen ist das Nachbauen von Produkten leider normal. Man kann froh sein, wenn man einen gewissen Vorsprung vor der Konkurrenz behält. Und den gilt es dann zu sichern.
Man bemerkt es übrigens oft schon sehr schnell, z.B. wenn der Nachbau auf der gleichen messe ein paar Stände weiter vom eigenen Produkt präsentiert wird. (Laut meinen Kollegen ein Beispiel aus der Praxis der letzten drei Jahre.)
Generell ist denkbar, dass Sicherheitslücken in jeder Software zum Diebstahl von KnowHow führen können, aber aus meiner Praxiserfahrung (was ich mitbekommen habe) kann ich sagen, dass der einfache USB-Stick das viel effektivere und einfachere Mittel ist.
Und wenn das nicht geht, dann trägt man halt ausgedruckte Dokumente unter dem Mantel nach draußen. Und wenn die Drucker überwacht werden, dann fotografiert man sie ab. Und wenn Kameras verboten sind, dann nimmt man das Smartphone. Und wenn auch das nicht funktioniert, dann wird es Zeit für Hacker das Netzwerk von Außen anzugreifen, dass man deshalb entsprechend abgesichert hat.
Letztendlich ist das auch wieder eine Sache bei der es darum geht den Aufwand an Kosten und Material gegen dem erzielbaren Effekt abzuwägen. Vielleicht fragt sich der ein oder andere warum es ständig Fortschritt und Neues geben muss: in der Industrie ist der Abfluss von KnowHow einer der Gründe. Dies ist der einzige echte Weg den eigenen technischen Vorsprung zu halten. Alte anderen Sicherheitsmaßnahmen verschaffen nur mehr bis zum Abfluss...
Bis dann
Andreas
mawe2 Andreas42 „Hi! Bitte beachte, dass ich das vorher unter nur drei Funktionen gruppiert habe: Filtern, Backup und Updates Wenn ich schon ...“
aber aus meiner Praxiserfahrung ... kann ich sagen, dass der einfache USB-Stick das viel effektivere und einfachere Mittel ist
Weswegen in kritischen Umgebungen der Einsatz von USB-Sticks natürlich unterbunden wird. (Im Idealfall hat der Rechner gar keine frei zugänglichen USB-Schnittstellen.)
Ansonsten: Ja, es gibt die Formen von Industrie-Spionage, die Du erwähnt hast (Papier-Ausdrucke, illegale Fotos etc.). Aber diese setzen illoyale Mitarbeiter im eigenen Unternehmen voraus. Das ist aber hier nicht das Thema.
Hier geht es darum, dass von außen versucht wird, die Systeme zu schädigen bzw. zu kompromittieren und dass darüber auch Informationen gestohlen werden können.
Ist der Spion in der Firma persönlich anwesend, brauchen wir über Firewalls, Virenscanner oder Proxy-Filter nicht weiter diskutieren!
Letztendlich ist das auch wieder eine Sache bei der es darum geht den Aufwand an Kosten und Material gegen dem erzielbaren Effekt abzuwägen.
Natürlich, das gilt ja quasi immer.
Gruß, mawe2
Andreas42 mawe2 „Weswegen in kritischen Umgebungen der Einsatz von USB-Sticks natürlich unterbunden wird. Im Idealfall hat der Rechner gar ...“
Hi!
Hier geht es darum, dass von außen versucht wird, die Systeme zu schädigen bzw. zu kompromittieren und dass darüber auch Informationen gestohlen werden können.
Eigentlich ging es darum, warum es nicht verwunderlich ist, das Institute, Behörden, Firmen doch immer noch Virenscanner einsetzen obwohl doch jedes zusätzliche Programm die Gefahr durch potentielle Sicherheitslücken erhöht und dass dies nicht nur dem Selbstschutz der Administratoren dient.
Deine einzelne Punkte betreffenden Detailbetrachtungen, sind aber natürlich korrekt. Zumal du dabei den Blick des Hobby-Anwenders behältst.
Mir ging es primär darum zu zeigen, dass in Firmen EDV-Abteilungen andere Gedankengänge stattfinden, wenn es sich um Sicherheitfragen dreht, als sich normale Hobby-Anwender vorstellen.
Bis dann
Andreas
