Wenn der ISP einen der Virusverbreitung bezichtigt

Antiviren-Sicherheit ist gut und schön, kann aber auch in Problemen ausarten, wenn Menschen ohne tiefere Fachkenntnis einfach so dem vertrauen, was ein Computer angeblich herausgefunden haben will. Ich hatte kürzlich einen Fall, wo der Internet Service Provider (ISP) einem seiner Kunden den Internetzugang gesperrt hatte mit dem Hinweis, daß sich auf diesem Computer angeblich aktive Schadprogramme befinden würden. Da der Computer von mir selber erst vor wenigen Monaten installiert worden war, jederzeit aktuell und mit Antivirenschutz versehen war und zudem ein kompletter Systemcheck radikal gar nichts ergab, konnte dies mit hoher Wahrscheinlichkeit ausgeschlossen werden.

Das vordergründige Problem war nun der ISP, welcher sich störig ob seiner Virenmeldung zeigte – was das ganze Dilemma zum Vorschein bringt, sollten ISPs eines Tages solcherart Virenchecks breitflächig einsetzen: Wie soll schließlich der PC-Benutzer den ISP davon überzeugen können, daß sein PC clean ist und daß es sich durchaus auch um eine Falschmeldung handeln kann, welche im Antiviren-Geschäft durchaus häufig vorkommt? Schließlich versucht der ISP, den Datenverkehr selbst zu analysieren – etwas, zu dem der PC-Benutzer höchst selten in der Lage sein dürfte. Der PC-Benutzer kann gewöhnlich nur für die Virenfreiheit seines eigenen PCs sorgen, was nunmehr dem ISP, welcher keinen Zugriff auf diesen PC hat, schwer zu beweisen ist – ein Henne-Ei-Problem. Wenn dann noch absolute Computer-Gläubigkeit seitens der Hotline-Mitarbeiter des ISPs dazukommt, welche blind ihrer Virenmeldung vertrauen, dann steht der ISP-Kunde vor einem Problem im Ausmaß eines gordischen Knotens.

In diesem konkreten Fall konnte dieser einfach durch einen Reset des Routers zerschlagen werden – womit mir gewisse Zeit später die entscheidende Idee kam, woran das Problem gelegen haben dürfte: Der Router stammte aus einer Werbeaktion des ISPs und war untypisch für die anderen Router dieses ISPs nicht in der Lage, ein anderes Admin-Passwort zu akzeptieren, lief also trotz meiner obligatorischen Passwort-Änderungs(bemühungen) mit dem default-Passwort. Und dies ermöglicht durchaus, daß jemand in dieses Netzwerk eindringt (nicht in den PC selber) und darüber Schadcode verbreitet – unter Umständen stimmte also die Virenmeldung des ISPs in diesem Fall, nur daß er höchstselber daran Schuld war. Die "normalen" Router mit den änderbaren Passwörtern werden von diesem ISP im übrigen auch ohne jeden Hinweis verteilt, daß man doch eigentlich das Router-Passwort ändern sollte – es dürften also noch viele angreifbare Geräte durch die Gegend schieben.

Die eigentliche Lehre aus dem Fall ist aber diese, daß die von einigen Seiten vorgebrachte Idee, Internet Service Provider könnten Antivirus-Polizei spielen, höchst vorsichtig zu betrachten ist. Warnhinweise in diese Richtung hin können nützlich sein, aber direkte Aktionen sind abzulehnen ob des immer mit vorhandenen Fehlerkennungs-Risikos und der fehlenden Möglichkeit zwischen ISP und Benutzer, sich auf derselben Datenbasis über das Vorhandensein oder Nichtvorhandensein von Schadsoftware zu unterhalten.

Und nebenbei weist dieser Fall natürlich auch auf die Wichtigkeit der Passwort-Änderung des Routers hin. Damit ist nicht das Passwort zum Internet-Provider gemeint, sondern das Passwort des Routers selber – dieses Gerät wird nämlich in aller Regel mit einem Standard-Passwort ausgeliefert, welche im Geräte-Handbuch steht und damit für Jedermann herausfindbar ist. Das Passwort eines Routers oder Modems sollte immer geändert werden, ansonsten kann nicht garantiert werden, daß ein anderer Anwender unter der eigenen IP-Adresse (!) Schabernack treibt.