Im allgemeinen Diskurs um die Frage, wie man seinen Computer bestmöglich vor einer Kompromittierung in Form eines Malwarebefalls schützt, werden leider viel zu oft Praktiken geraten, die sich lediglich auf das Installieren und Aktualisieren von Antivirensoftware beziehen – so, als wäre hiernach und nach dem Einspielen von Aktualisierungen für das jeweilige Betriebssystem bereits alles Notwendige getan – dem ist mitnichten so. Dieser Artikel beschreibt, weshalb Antivirensoftware lediglich ein Pflaster ist, das die eigentliche Wunde zwar bedeckt, sie jedoch zu heilen nicht vermag und erläutert, welche Maßnahmen geeignet sind, um das Sicherheitsniveau nachhaltig zu erhöhen.
Das Problem mit Malware ist nicht in erster Linie die Malware selbst, sondern die Tatsache, daß es Betriebssysteme gibt, die es den Entwicklern von Malware ermöglichen, das Betriebssystem zu kapern – die Frage nach geeigneten Abwehrmaßnahmen gegen Malware ist in erster Linie dort zu stellen, wo das Problem seinen Ursprung findet, nämlich im Betriebssystem.
Als Entwickler einer Malware, ganz gleich, ob es sich hierbei um einen Bot, einen Trojaner oder Vergleichbares handelt, ist man stets mit der Aufgabe konfrontiert, einen oder mehrere Wege zu finden, mit denen man ein Zielsystem kompromittieren, sprich selbiges unter Kontrolle bringen kann. Werden Schwachstellen in Browsern, Betriebssystemen, PDF-Readern und weiterem Rüstzeug für das Erkunden des Internets in der Öffentlichkeit bekannt, werden diese von wahlweise finanziell oder idealistisch motivierten Hackern sowie von Geheimdiensten dazu genutzt, um das gewünschte Ergebnis zu erzielen: Das Eindringen und Kapern eines oder mehrerer Zielrechner.
Geschützte Computersysteme zeichnen sich daher bereits schon vor der Installation einer Antivirensoftware dadurch aus, daß sie möglichst wenige Schwachstellen beherbergen, die von Angreifern zur Installation von Malware genutzt werden können. Das regelmäßige Aktualisieren der installierten Software stellt also eine Maßnahme dar, die in jedem Fall beachtet werden sollte.
Wo kein Ziel ist, da findet auch kein Angriff statt.
Mindestens gleichwichtig ist jedoch die Reduzierung von Angriffsflächen. Die Logik hierbei lautet, daß eine Software, die nicht existiert auch nicht angegriffen werden kann. Wird beispielsweise eine Schwachstelle innerhalb eines bestimmten PDF-Betrachters bekannt und ist ein entsprechender Exploit, also ein Programmcode, der das Ausnutzen einer Schwachstelle ermöglicht, verfügbar, so betrifft das Problem der Angreifbarkeit selbstverständlich bloß jene Computersysteme, auf denen dieser PDF-Betrachter installiert ist. Systeme, die diesen PDF-Betrachter nicht beherbergen, können folgerichtig auch nicht angegriffen werden.
Schon oft wurde darüber diskutiert, welches wohl die bessere Wahl darstellt – eine Softwarefirewall, oder die Variante in Form einer Hardwarefirewall. Obgleich oftmals die Entscheidung zu Gunsten der Variante aus Hardware fällt, verirren sich die Meinungsführer gerne in Argumenten, die zwar an sich betrachtet durchaus richtig sind, gleichzeitig aber am Kern der Sache vorbeigehen. Natürlich ist das Argument zu nennen, daß eine Hardwarefirewall zu höheren Datendurchsätzen fähig ist, als es eine Softwarefirewall könnte, die sich nebst zahlreichen weiteren installierten Programmen die Ressourcen des Computers teilen muss. Letztendlich ist das entscheidende Argument für die Hardwarefirewall jedoch die Möglichkeit, ein Gerät zu konstruieren, welches unter Verzicht auf eigentlich unnötigen Programmcode – und damit unerwünschte Angriffsfläche – eine einzige, detailliert definierte Aufgabe bewältigt. Ein System, welches ausschließlich Datenpakete annimmt, bewertet und je nach Konfiguration weiterleitet oder verwirft, ist schwieriger zu kompromittieren als ein System, welches nebst Softwarefirewall gleichzeitig auch noch potenzielle Angriffsfläche in Gestalt eines Browsers oder PDF-Betrachters bietet. Das Beispiel der Firewall lässt sich gleichfalls auf Computersysteme ganz allgemein übertragen. Die Erkenntnis lautet, wo kein Ziel ist, da findet auch kein Angriff statt.
Wie Maßnahmen zur Steigerung der Sicherheit ineinandergreifen
Wie bereits erwähnt, haben die Entwickler von Malware vor einer erfolgreichen Kompromittierung des Zielsystems einige Hürden zu nehmen. Systeme, die mit möglichst wenig Software und damit wenig potenzieller Angriffsfläche auskommen, und auf denen die vorhandene Software durch notwendige Aktualisierungen möglichst schwachstellenfrei gehalten wird, sind für Kompromittierungen weniger anfällig.
Diese Maßnahmen erblassen jedoch, wenn Malware auf Computersystemen mit sogenannten Administratorrechten ausgeführt wird. Moderne Betriebssysteme verfügen über ein Rechtesystem, welches es in Abhängigkeit des angemeldeten Benutzers erlaubt oder verbietet, bestimmte Aktionen durchzuführen. Benutzer, die über die Rechte eines Administrators verfügen, dürfen sämtliche Aktionen, wie beispielsweise die Veränderung von Systemeinstellungen oder die Installation von Gerätetreibern und Softwarepaketen durchführen. Einfachen Benutzern, die nicht über die Rechte eines Administrators verfügen, bleiben diese Aktionen verwehrt. Wird eine Malware auf dem Computer ausgeführt, so kann sie im Regelfall nur im Rahmen der Rechte des angemeldeten Benutzers agieren. Wird die Malware also durch einen Administrator ausgeführt, so stehen ihr alle Wege zur Manipulation des Systems offen – die Malware nistet sich im System ein, erstellt Autostarteinträge, verändert Systemeinstellungen und nutzt das somit kompromittierte Computersystem gemäß der Intention ihres Entwicklers.
Wird eine Malware hingegen nicht mit den Rechten eines Administrators, sondern den eingeschränkten Rechten eines einfachen Benutzers ausgeführt, so wird das System Manipulationen an Einstellungen, wie beispielsweise das Erstellen von Autostarteinträgen gar nicht erst erlauben. Wollte der Entwickler der Malware diesen Fall dennoch überbrücken, so müsste er eine Schwachstelle finden und ausnutzen, die es ihm erlaubt, sich Administratorenrechte zu verschaffen. An dieser Stelle wird deutlich, wie die drei genannten Maßnahmen zur Steigerung der Sicherheit vor durch Malware ineinandergreifen. Steht dem Entwickler der Malware auf dem Zielsystem keine angreifbare Schwachstelle zur Verfügung, weil der Anwender nicht benötigte Software konsequent deinstalliert und die Schwachstellen in der noch verbliebenen Software durch Aktualisierungen restlos entfernt hat, so wird die Kompromittierung des Systems aus Sicht des Entwicklers der Malware deutlich erschwert und bestenfalls verhindert.
Werden diese grundlegenden Maßnahmen bei der Konfiguration eines Computers gewürdigt, stehen die Chancen gut, daß zahlreiche Kompromittierungen bereits verhindert werden, noch bevor Antivirensoftware überhaupt erst mit der Aufgabe einer Desinfektion betraut werden muss.
Zum Autor des Gastbeitrags:
Peter Piksa ist Aktivist für (digitale) Bürgerrechte und Netzpolitik. Teilnehmer des Arbeitskreises gegen Internetsperren und Zensur.