10

23 von 40 Antiviren-Programmen höhlen https-Verbindungen aus und verschlechtern damit die PC-Sicherheit

Nach einer Heise-Meldung werfen Sicherheitsforscher ausgerechnet den Herstellern von Antiviren-Software grobe Fahrlässigkeit bei der Verarbeitung von https-Verbindungen vor: Fast die Hälfte der untersuchten Programme mischten sich in die dafür notwendige TLS-Verbindung ein, mit dem Effekt, das fast ausschließlich eine erhebliche Verschlechterung der TLS-Sicherheit "erreicht" wurde. Hintergrund hierfür ist natürlich der Drang der Antiviren-Hersteller, ihre Kunden auch vor Schadprogrammen auf verschlüsselt ausgelieferten Webseiten zu schützen – nur im eigentlichen ist der https/TLS-Schutz gar nicht dafür gedacht, irgendwo (auch zu legalen Zwecken) aufgebrochen zu werden. In jedem Fall sind die dafür eingesetzten Methoden der Antiviren-Hersteller teilweise so absurd, das eben eine klare Sicherheits-Verschlechterung erreicht wird – sprich, die Antiviren-Software selber macht das System unsicherer. Konkret werden durch die verringerte TLS-Sicherheit "Man-in-the-Middle"-Attacken begünstigt, welche jetzt weniger denn typischen Viren weiterhilft, worüber sich allerdings die "Anbieter" von gefälschten Banken-Webseiten freuen werden.

Da es sich hierbei um ein systematisches Problem handelt und nicht um einen singulären Bug, dürfte es auch kaum eine schnelle Lösung geben – für die Antiviren-Hersteller zählt das ganze ja sogar als Feature und wird damit nicht als Problem angesehen. Einen Sinneswandel könnten somit nur die Käufer und Nutzer von Antiviren-Software erreichen, indem man schlicht mit den Füßen abstimmt. Leider sind solcherart Einwände für die meisten Anwender dann doch (viel) zu technisch, um breit Beachtung zu finden – und typische Antiviren-Tests produzieren in aller Regel nur wenig aussagende Zahlen über die Schutzquote gegenüber einer möglichst superbreiten Viren-Datenbank (inklusive auch Labor-Viren, die "in Freiheit" gar nicht vorkommen), widmen sich aber weniger den eigentlichen Brennpunkten der Antiviren-Technologie. Dazu gehört heutzutage in erster Linie eben, welche Sicherheitslöcher Antiviren-Software selber reißt – der Fall der https-Verbindungen ist da nicht wirklich alleinstehend.

40 Antiviren-Programme im Test zur https/TLS-Sicherheit
Antiviren-Programme, welche sich in TLS-Verbindungen einklinken und dabei die PC-Sicherheit verschlechtern (9) AVG Zen 1.41, AVG Internet Security 2015-6, Bitdefender Internet Security 2016, Bitdefender Total Security Plus 2016, Bitdefender AV Plus 2015-16, Bullguard Internet Security 16, Dr. Web Security Space 10, Kaspersky Internet Security 16, Kaspersky Total Security 16
Antiviren-Programme, welche sich in TLS-Verbindungen einklinken und dabei die PC-Sicherheit deutlich verschlechtern (15) Avast AV 11.7 (Mac), Bitdefender AV Plus 2013, Bullguard Internet Security 15, CyberSitter 11, Dr. Web Antivirus 11 (Mac), ESET NOD32 AV 9, G DATA Total Security 2015, G DATA Internet Security 2015, G DATA Antivirus 2015, Kaspersky Internet Security 16 (Mac), KinderGate Parental Control 3, Net Nanny 7 (Windows & Mac), PC Pandora 7, Qustodio Parental Control 2015 (Mac)
Antiviren-Programme, welche sich in TLS-Verbindungen einklinken und dabei die PC-Sicherheit nicht verschlechtern (2) Avast AV 10, Avast AV 11
Antiviren-Programme, welche sich nicht in TLS-Verbindungen einklinken (15) 360 Total, Ahnlabs V3 Internet Security, Avira AV 2016, Comodo Internet Security, F-Secure Safe, K7 Total Security, Malwarebytes, McAfee Internet Security, Microsoft Windows Defender, Norton Security, Panda Internet Security 2016, Security Symantec Endpoint Protection, Tencent PC Manager, Trend Micro Maximum Security 10 & Webroot SecureAnywhere
Quelle: "The Security Impact of HTTPS Interception" (PDF)

Ganz generell betrachtet befindet sich Antiviren-Software derzeit klar auf dem absteigenden Ast – einige Sicherheitsexperten sprechen sogar davon, das deren Schadpotential inzwischen größer als deren Nutzwirkung ist. Ob der Rat zur Deinstallation allerdings etwas ist, was man Otto Normalsurfer wirklich beigeben kann, darf diskutiert werden – ein fähiger System-Admin mag eventuell ohne Antiviren-Scanner auskommen, aber für Otto Normalsurfer ist es mangels Selbstbeherrschung und "Brain.exe" oftmals der allereinzigste Schutz. Für den Normalbürger wäre wohl eher eine Empfehlung sinnvoll, welches weglenkt von überbordenden "Total-Security-alles-in-einem-Wollmilchsau-Programmpaketen", da deren Tendenz immer in einer Art "Überschutz" ohne Rücksicht auf Konsequenzen besteht. Gegen einen feinen, kleinen, ressourcensparenden Virenscanner, der sich nur meldet, wenn es wirklich Bedarf zum Nutzereingriff gibt, ist auf einem Normalbürger-PC schwerlich etwas einzuwenden – insbesondere angesichts heutiger gesetzlicher Anforderungen, welche ohne (aktuelle) Updates, Virenscanner und Firewall schnell mal den Anwender als "mitverantwortlich" ansehen.