Beitrag: Lücken bei Antiviren-Software Trügerische Sicherheit

Transkript

1 Manuskript Beitrag: Lücken bei Antiviren-Software Trügerische Sicherheit Sendung vom 21. März 2017 von Joachim Bartz Anmoderation: Viren, Trojaner, Würmer - hört sich fies an, was Ihren Computer alles angreifen und befallen kann. Die Folgen sind noch fieser: Kriminelle ködern Sie mit gefälschten Mails, klauen Ihre Daten, kaufen irgendwo auf der Welt mit Ihrem Passwort, Ihrer geklonten Kreditkarte und auf Ihre Kosten ein. Niemand, der im Internet surft, ist davor gefeit. Und die Antiviren-Software, die Sie zugekauft und installiert haben, bietet kaum Schutz, im Gegenteil: Oft ist sie sogar das Einfallstor für Angreifer. Joachim Bartz über trügerische Sicherheit. Text: Im Internet surfen und einkaufen - Hilde Peter fühlte sich sicher. Schließlich hatte sie Avira Free Antivirus -Software auf ihrem Rechner. Die aktualisierte sie regelmäßig, wurde dennoch gleich zweimal Opfer von Internetkriminellen. Zuerst fiel sie auf eine gefälschte des Bezahldienstes PayPal herein. Mit ihren Kreditkartendaten kaufte jemand bei einem Online-Versandhändler ein - für 150 Euro. Ihre Bank ersetzte den Schaden, Frau Peter bekam eine neue Kreditkarte. Ein halbes Jahr später wurden auch diese Daten von ihrem Rechner gestohlen. Es folgte eine Fremdabbuchung für einen Einkauf bei einem Elektromarkt in Höhe von 296 Euro. O-Ton Hilde Peter, Opfer von Cyberkriminellen: Sowas dürfte eigentlich nicht passieren, dass jemand auf die Daten zugreifen kann. Wenn ich am Computer irgendwas mache, will ich halt geschützt werden mit nem Virenprogramm. Und wenn das nicht der Fall ist, dann hilft mir ja das nichts. Wir teilen Avira alle verfügbaren Informationen zum Fall Hilde Peter mit und fragen, was der Antiviren-Hersteller zu den Vorwürfen sagt. Avira teilt mit, das Unternehmen könne den Fall

2 nicht qualifiziert bewerten. Verweist auf seine vielfach ausgezeichnete Software. Rainer Witzgall hat jahrelang für Avira gearbeitet. Er kennt das Geschäft - und auch die Grenzen der Antiviren-Industrie. O-Ton Rainer Witzgall, ehemaliger Avira-Manager: Früher gab es dann einen oder hundert neue Viren- oder Schadsoftware-Pakete pro Tag. Und heute gibt es tausend oder Millionen in der Woche. Und auch wenn der Antivirus- Hersteller es schafft, innerhalb einer Stunde so ein Gegenmittel, so ein Update gegen neue Schadsoftware auf den Markt zu bringen, dauert es teilweise viel, viel länger, teilweise Wochen, bis das auf dem PC eines Privatanwenders wirklich angekommen ist. Und erst dann ist er geschützt. Fast jeder zweite Deutsche wurde schon Opfer von Cyberkriminellen, obwohl das Geschäft mit der Antiviren-Software boomt. Wie kann das sein? Ich will das genauer wissen, kaufe fünf bekannte Produkte - von Kaspersky, Avira, GData, Symantec und AVG. In der Werbung: Superlative: [AVG] - Hält Ihren Computer frei von Viren [Avira] - Absolute Onlinesicherheit [GData] - Rundum-Sorglos-Paket [Symantec] - Bester und umfassender Schutz [Kaspersky] - Ultimativer Schutz vor allen Cyberbedrohungen Absolute Sicherheit können die Produkte das wirklich leisten? Ich bringe sie zu einem unabhängigen IT-Security-Dienstleister. Sicherheitsforscher Matthias Luft untersucht Antiviren-Software seit Jahren. Er ist überzeugt: Sie kann grundsätzlich helfen, aber nur das bekämpfen, was sie kennt. O-Ton Matthias Luft, Sicherheitsforscher ERNW GmbH Auf der anderen Seite gibt es gute Möglichkeiten, Antiviren- Software zu umgehen. Das heißt, wenn sich jemand tatsächlich die Mühe macht, was gezielt vorzubereiten, kann man Antiviren-Software eigentlich immer umgehen. Luft macht für Frontal 21 den Versuch. Er schreibt eine neue Schadsoftware, schickt sie per Mail mit Anhang an das Opfer. Das öffnet Mail und Anhang, infiziert damit den PC. So hat der Angreifer Zugriff auf den PC des Opfers, kann Daten stehlen - alles als Laborversuch, aber so ähnlich wie bei Hilde Peter. O-Ton Matthias Luft, Sicherheitsforscher ERNW GmbH Das passiert leider häufig, weil viele Phishing-Mails sehr gut getarnt sind. Weder die , noch das Öffnen der Datei

3 wurde dann von der Antiviren-Lösung als bösartig markiert oder verhindert oder die Datei gelöscht. Dadurch, dass die Datei einfach nicht erkannt wurde. Mit seinen zwei Mitstreitern braucht Sicherheitsforscher Matthias Luft gerade mal vier Stunden, um alle fünf Antiviren-Software- Pakete zu umgehen. Lufts Team greift an, mit neuer Schadsoftware. Verschickt sie. Hier empfängt das Opfer die Mail und infiziert den Computer. Das sind vier Beispielbilder auf dem Opfer-PC. Der Angreifer kann diese vier Bilder stehlen. Und vom Opfer-PC, links, auf den Angreifer-PC, rechts, herüberholen. Die Antivirus-Software merkt nichts von dem Angriff, sondern zeigt an, der angegriffene Computer sei geschützt. Das gilt für alle von uns überprüften Antiviren-Produkte. O-Ton Matthias Luft, Sicherheitsforscher ERNW GmbH Das ist natürlich jetzt genau diese Kluft, die wir zwischen dem Marketing-Versprechen haben, dass alles erkannt wird und dass man eben die Antiviren-Lösung doch mit einfachen Methoden umgehen kann. Matthias Luft schreibt einen detaillierten Bericht. Frontal 21 legt ihn den fünf Herstellern vor und bittet um Stellungnahme. Die Firma Kaspersky teilt mit, der Versuch lasse keine Rückschlüsse auf die Produkteffizienz bei einem realen Einsatz zu, will den Testergebnissen jedoch nachgehen, Kaspersky Lab arbeitet an einer Aktualisierung seiner Sicherheitslösungen, um dieses Angriffsszenario zu entdecken und zu blockieren. AVG hält unseren Test für ungewöhnlich, künstlich, und benutzerunfreundlich. Nimmt ihn aber ernst, Wir arbeiten kontinuierlich daran, die beste Balance zwischen Sicherheit und Benutzerfreundlichkeit zu finden und werden das Ergebnis dieses Tests dabei einbeziehen. GData antwortet, der Test entspräche einem gezielten Angriff auf ein spezifisches System und sei nicht für einen massenhaften Einsatz vorgesehen. Der Test ist unserer Einschätzung nach nicht geeignet, um eine generelle Aussage über die Schutzmechanismen von Security-Lösungen zu treffen.

4 Avira schreibt, die im Testbericht enthaltenen Angriffs-Szenarien seien unrealistisch, Derartige Angriffe betreffen Endkunden in der Regel nicht. Und Symantec bezweifelt, ob unsere Testmethoden allgemein anerkannter Testpraxis entspricht und moniert, dass der Test auf nicht dem Standard entsprechende, untypische und unvollständige Art und Weise durchgeführt wurde. O-Ton Sandro Gaycken, Direktor Digital Society Institut, ESMT Berlin: Also, eigentlich ist es völlig egal, was für eine Methode der Angreifer benutzt, weil die realen Angreifer benutzen halt eben auch die Methode, die gerade funktioniert. Von daher, die Antiviren-Hersteller hangeln sich gerne daran auf, dass man sich ja nach bestimmten Methoden diese Produkte testen muss, aber die Angreifer richten sich danach ja auch nicht. Die gucken eben halt auch, wie kommen sie rein. Meistens sind das ganze einfache Verfahren und Methoden, die man relativ einfach mit einem geringen Zeitaufwand was zusammenbasteln kann. Sandro Gaycken, Direktor des Digital Society Instituts in Berlin, gehört zu den renommiertesten IT-Experten Deutschlands. Er trat zum Beispiel als Fachmann im NSA-Untersuchungsausschuss des Bundestages auf. Gaycken kennt die Lücken von Antiviren- Software. Dass man sie umgehen könne, sei dabei noch nicht einmal das Schlimmste. O-Ton Sandro Gaycken, Direktor Digital Society Institut, ESMT Berlin: Der größere Nachteil und die größere Gefahr ist aber, dass man die auch selber angreifen kann. Das weitere Problem ist nämlich, dass die auch selber gar nicht sicher sind. Das heißt, die Sicherheitssoftware selber ist angreifbar und bietet einen Angriffsvektor in das System. Antiviren-Software kann zum Einfallstor für Angreifer werden. Sicherheitsforscher Matthias Luft findet immer wieder solche Schwachstellen. Er und seine Mitarbeiter demonstrieren das: Wieder verschicken sie ihre Schadsoftware als Datei per an das Opfer. Doch diesmal muss die Datei gar nicht geöffnet werden. Während die Antiviren-Software die eingegangene Datei scannt, setzt sich das Virus frei. Solche Sicherheitslücken sind für Luft kein Einzelfall.

5 O-Ton Matthias Luft, Sicherheitsforscher ERNW GmbH Die Natur der Schwachstellen - und ich sag mal, wie einfach diese zu finden waren - deuten darauf hin, dass es da durchaus noch mehr Schwachstellen gibt. Das nutzen Kriminelle aus, wissen Hassan Marzouk und Rainer Witzgall. Sie sind Spezialisten für das sogenannte Darknet, durchsuchen es gezielt im Auftrag von Firmen. Das Darknet ist ein verborgener Teil des Internets, nur mit speziellen Werkzeugen zu erreichen. Im Schutz der Anonymität bieten Kriminelle Waffen an, Kreditkarten und Drogen, aber auch gehackte Antiviren-Software. O-Ton Rainer Witzgall, OWL Cybersecurity: Auch Sicherheitslücken für eine Vielzahl von Produkten, Betriebssystemen und auch Antivirenprodukten. Also, wir haben ganz explizit für verschiedene Antivirus-Hersteller Sicherheitslücken gefunden, die angeboten werden. Witzgall zeigt mir Beispiele für gehackte Antiviren-Software. Auf Anhieb findet er 136 Treffer, kriminelle Angebote im Darknet. Wir verdecken sie teilweise, damit Online-Kriminelle nicht auf dumme Gedanken kommen. Hier bietet ein Hacker an, Avira-Software zu manipulieren. Rechts beschreibt jemand, welche Module von Kaspersky er angeblich hacken kann und links verkauft ein anderer Raubkopien gehackter Antiviren-Software. Rainer Witzgall, der ehemalige Avira-Manager, ist sich sicher: Die Antiviren-Hersteller werden den Wettlauf mit Kriminellen nie gewinnen. Über die Werbeversprechen von angeblich absoluter Onlinesicherheit kann er nur lachen. O-Ton Rainer Witzgall, OWL Cybersecurity: Das ist eine gute Marketingaussage, dieser Hundert Prozent Schutz ist technisch nicht umsetzbar. Die Antiviren-Hersteller versprechen zu viel. Ihre Software schützt vor allem vor bekannten Gefahren. Opfer gezielter Attacken haben kaum eine Chance. Abmoderation: Immerhin einen Rat haben wir für Sie. Installieren Sie so schnell es geht die jeweiligen Sicherheits-Updates des Betriebssystems. Der beste Schutz bleibt aber Ihre Wachsamkeit.

6 Zur Beachtung: Dieses Manuskript ist urheberrechtlich geschützt. Der vorliegende Abdruck ist nur zum privaten Gebrauch des Empfängers hergestellt. Jede andere Verwertung außerhalb der engen Grenzen des Urheberrechtgesetzes ist ohne Zustimmung des Urheberberechtigten unzulässig und strafbar. Insbesondere darf er weder vervielfältigt, verarbeitet oder zu öffentlichen Wiedergaben benutzt werden. Die in den Beiträgen dargestellten Sachverhalte entsprechen dem Stand des jeweiligen Sendetermins.