Einige Überlegungen zu Antivirus-Software sind sowohl an die bisherige Kundschaft von F-PROT als auch an weitere Interessierte gerichtet.

Nach dem Verkaufsende der einst legendären F-PROT Antivirus-Software kann nicht schaden, sich an allgemeine Tipps und Links zu grundlegenden ICT-Sicherheitsmassnahmen zu erinnern.

Doch wie soll eine andere oder neue Antimalware oder Antivirus-Software (AV) ausgesucht werden?

Überblick

  • Nach dem Verkaufsende von F-PROT verzichtet Würgler Consulting GmbH vorläufig auf ein anderes AV-Reselling.
  • Alternativen:
    • Bei MS-Windows kann der mitgelieferte Defender eingesetzt werden, was nicht ganz unproblematisch sein kann ().
    • Gratis-Versionen von Herstellern für den privaten Gebrauch können tauglich sein, wenn sie nicht zu nervig zum Upgrade auf eine Bezahlversion animieren.
    • Die finnische F-Secure (↓) kommt wohl näher an F-PROT heran als andere, insbesondere mit dem Produkt F-Secure Anti-Virus.
    • Vielleicht erwägen Sie, für dieses oder ein anderes Produkt eine Reseller-Firma aus der Region oder Ihr IT-Dienstleister in die Überlegungen einzubeziehen.
    • Testergebnisse (↓) können begrenzt hilfreich sein. Sie liefern uneinheitliche Ergebnisse, bedingt durch die angelegten Kriterien und Gewichtungen.
  • Vor einseitigem Vertrauen auf AV- und andere technische Produkte muss abgeraten werden ().
  • Sicherheitsfachleute oder offizielle Stellen wie das NCSC können Informationen und Tipps geben. Ohne Grundkenntnisse geht es nicht (↓).

Ein ausführlicher, aber bewusst vereinfachter und unvollständiger Text folgt. Adressiert sind primär kleinere KMU.

Inhalt:

F-PROT-Nachfolge: Kein Reselling mehr

Würgler Consulting GmbH verzichtet vorläufig auf einen Wiederverkauf eines anderen Antimalware-Produktes.

Einerseits war F-PROT einst bekannt als wenig überladenes, gutes und günstiges AV-Produkt. Eine überzeugende Alternative scheint schwierig zu finden sein.1 Andererseits müssten erste Kundinnen und Kunden noch gefunden oder bisherige F-PROT-Kundschaft zum Umsteigen bewogen werden. Beides dürfte nicht einfach sein. Ob bei grossen Security-Grosskonzernen kleine Reseller heute überhaupt erwünscht sind, bleibt ungewiss.

Wie wähle ich eine Antivirus-Software aus?

Wenn der individuelle Bedarf nicht bekannt ist, lassen sich höchstens generelle Hinweise geben.

Was nützt Antimalware?

Antivirenprogramme, besser wäre Antimalware-Programme, sollen gegen zahlreiche Schädlinge schützen: Viren, Trojaner, Spyware, Ransomware usw. Ob sie das in jedem Einzelfall tun? Sich nur darauf zu verlassen genügt nicht. Einerseits sind ausgeklügelte Schadprogramme für die Antimalware-Software nicht oder noch nicht erkennbar. Andererseits werden Umgang mit Technik, Verhalten sowie Social Engineering oft unterschätzt (). Dagegen gibt es kaum oder nur begrenzt technischen Schutz.

Ein paar Hinweise zur AV-Evaluation

  • Sofern vorhanden, werden die IT-Abteilung, IT-Beauftragte oder externe IT-Partner, die sich auskennen, sicherlich bei der Evaluation einbezogen.
  • Vertrauen auf einen “guten” Virenschutz genügt nicht ().
  • Bei einem Microsoft Betriebssystem kann man den mitgelieferten Defender benutzen. Dann verlässt man sich auf das angreifbare MS-Ökosystem, das man schützen möchte. Das könnte zum Problem werden.
  • Einzelne Hersteller bieten Gratis-Versionen ihrer Antivirenprogramme an. Die Funktionalität kann eingeschränkt und/oder begrenzt auf privaten oder gemeinnützigen Gebrauch sein. Sollten diese zum Upgrade auf eine Bezahlversion animieren, kann es lästig werden. Bei solchen Versionen gab es auch schon nicht eingewilligten Verkauf von Nutzerdaten an Marketingfirmen.2
  • Eine der wenigen Gratis- und freien, d. h. FLOSS-lizenzierten Antiviren-Software ist Clam AntiVirus (ClamAV) von Cisco. Diese wird jedoch häufig auf (unixoiden) E-Mail-Servern eingesetzt und ist dort durchaus empfehlenswert, ebenso auf anderen *nix-Systemen. Für durchschnittliche Windows-Arbeitsplätze dürfte sie eher selten als Lösung erwogen werden.3
  • Technische Kriterien können bedarfsgerecht in die Evaluation einbezogen werden. Meistens genügen allgemeinere Kriterien, welche beispielsweise spezialisierte Institute bei ihren Tests und Vergleichen (↓) heranziehen.
  • Überhaupt kein AV installieren? Bei vielen unixoiden Systemen ist das wahrscheinlich der Normalfall, wenn auch nicht ganz unumstritten.4 Tatsächlich wurde seit einiger Zeit darüber diskutiert, ob Anti-Malware-Software selber schädlich sein könnte.5 Hoffentlich haben die Hersteller daraus die Lehren gezogen, sofern es sich um korrigierbare Schwächen handelt.
  • Subjektives Fazit: Viele Produkte sind generell ähnlich gut. Ob sie das auch auf den individuellen Schutzbedarf sind? Wer beispielsweise kritische “Eingangspforten” von Kompromittierungen wie E-Mail oder Browser sicherer handhabt () und einstellt (), könnte bei einem AV-Programm andere Kriterien als relevant erachten.

F-Secure?

Nach einigen Recherchen kann die finnische F-Secure als eine mögliche Nachfolge von F-PROT gesehen werden. Insbesondere das günstigste Produkt F-Secure Anti-Virus kommt an F-PROT etwas näher heran als andere. Weitere Stichworte: subjektiv sympathische Unternehmens- und Produktepolitik, vermutlich unterschätzt im Vergleich zu bekannten, grossen (US-) Namen.6 Ursprünglich soll F-Secure, damals Data Fellows, auch eine F-PROT-Engine enthalten haben.7

Die Testergebnisse ↓ sind jedoch zurzeit uneinheitlich und reichen von top (AV-TEST für F-Secure Safe und F-Secure PSB Computer Protection 20) bis zu mässig (AV-Comparatives für F-Secure Safe), je 2020. Das kann sich rasch ändern, zeigt aber auch, wie unterschiedlich Experten Kriterien oder Alltagstauglichkeit gewichten.

Einige lokale IT-Firmen – Ihr IT-Dienstleister? – ebenso wie grössere IT-Handelshäuser sind Wiederverkäufer von F-Secure oder vom Produkt Ihrer Wahl.

Diese subjektive Einschätzung zu F-Secure basiert auf dem Versuch, ein einfaches und gutes Produkt zu finden. Ferner darauf, dass ein europäisches Produkt vorteilhaft sein kann (was ein Thema für sich wäre8).

Vergleiche und Tests

können bei der Entscheidung helfen, insbesondere die Kriterien: welche sind für uns relevant? Tests sollten nicht überbewertet werden.

  • AV-Comparatives, eine nach eigener Darstellung unabhängige Organisation aus Österreich, die ursprünglich als Studierenden-Projekt an der Universität Innsbruck begann.
  • AV-TEST, eine Firma in Magdeburg, die sich als unabhängiges Forschungsinstitut für IT-Sicherheit in Deutschland bezeichnet.
  • ICT-Magazine und Zeitschriften: Deren Einschätzungen erscheinen manchmal weniger unabhängig als systematische Tests.
  • AV-Comparatives kommentiert und listet weitere Test-Organisationen, die sie als unabhängig erachtet.

Basis erarbeiten: Fokus (nur) auf Technik genügt nicht

Um ein bedarfsgerechtes ICT-Sicherheitsniveau zu erreichen, ist

"mehr als das bloße Anschaffen von Virenschutzprogrammen, Firewalls oder Datensicherungssystemen notwendig",

wie das deutsche BSI schreibt.9

Die Erläuterungen zu einem “ganzheitlichen Konzept” sind meistens lange und für (kleinere) KMU zu theoretisch.

Allerdings gilt der Spruch “nichts ist gefährlicher als Unwissenheit” auch in der ICT.

  • Wer Vorkenntnisse hat: Gut. Darauf aufbauen!
  • Wer sich als Einsteiger/in sieht: anfangen und dranbleiben! Wieso nicht beim NCSC () ein Thema auswählen. Dann regelmässig weiterlesen, etwas recherchieren. Denn …
  • Sicherheit ist immer ein Prozess.

Ein paar Stichpunkte, die zu den übergreifenden und organisatorischen Massnahmen gehören:

Sicherheitskonzept entwerfen:

Risiko
  • Risiko einschätzen: Welche Bedrohungen werden wie wahrscheinlich eintreffen? Schwachstellen?
  • Risiko-Beurteilung ist auch subjektiv und persönlich. Dennoch sollten bekannte Tatsachen nicht verdrängt werden.
Sicherheitsleitlinien
  • Allgemeine Sicherheitsleitlinien definieren, etwa
    • was geschützt werden muss,
    • wovor und warum,
    • wer für was zuständig ist.
  • Sicherheitsbeauftragte sollten nicht nur Informatik im engeren Sinn im Auge behalten.
Sicherheit ist Chefsache – aber nicht nur
  • Das gesamte Personal muss Sicherheitspläne verstehen.
  • Diese werden selbstverständlich vollumfänglich unterstützt von allen Chefs auf allen Stufen.
Notfallplan
  • Vorbereiten auf den Fall der Fälle: Wie gehen wir vor bei einem ernsthaften Vorfall?

Verhalten:

Unvorsichtiges Verhalten kann einen Betrieb lahmlegen. Misstrauen ist im Sicherheitskontext angebracht.

Verantwortung für eine sichere Nutzung
  • Nutzungs-Richtlinien zu Programmen und Diensten (E-Mail, Web, weitere) aufstellen.
  • Festlegen, welche Verhaltensweisen für den Betrieb potenziell schädlich sind.
  • Weitere konkrete Verantwortlichkeiten regeln:
    • Passwortrichtlinien vorschreiben.
    • Zulässige und unzulässige Software, Dienste und Geräte festlegen (inkl. Abgrenzung von privaten Interessen, Schatten-IT reduzieren).
    • Bestimmen, wer wie regelmässig Datensicherungen durchführt, sofern nicht unter Betrieb der Technik festgelegt (s. nachfolgend).
    • U. v. a. m. – siehe auch Info unten.
Informieren und schulen
  • Das Personal verständlich informieren,
  • Info/Schulung regelmässig auffrischen.

Technik evaluieren, umsetzen und betreiben:

Technische Sicherheits-Produkte
  • Technische Produkte und Massnahmen evaluieren, einführen oder erneuern. Dazu gehören AV, Firewall usw., siehe auch NCSC-Info unten.
Sicheren Betrieb gewährleisten (Operations)
  • Konkret umsetzbare Daueraufgaben und Verantwortlichkeiten fixieren:
    • Betriebssysteme und Programme ständig aktuell halten (Updates).
    • Bestimmen, wer für sicherheitsspezifische Software wie AV, Firewall, Router usw. und deren sicheren Betrieb zuständig ist.
    • Weitere Beispiele eruieren!
  • Wahl von geeigneten Konfigurationen und Einstellungen (nicht nur bei Mail- und Browser-Programmen). Wer informiert sich, wer setzt um?

Sicherheitsbeauftragte mit Weitblick:

  • Risiken und Angriffsformen verändern sich ständig. Eine verbindlich beauftragte Person sollte über Entwicklungen in der IT-Sicherheit stets informiert bleiben. Wie sollen Schutzmassnahmen im eigenen Betrieb weiterentwickelt werden?
  • Längerfristig sollte die Wahl von geeigneten, möglichst “sicheren” Systemen und von Software gut vorbereitet werden. Ein nicht ganz einfaches Thema, das wohl stark unterschätzt wird.

Grundlegende ICT-Sicherheit: Tipps, Links

Basisinfo zu ICT-Sicherheit wollen wir nicht neu erfinden.

Öffentliche Informationsanbieter

Zu den öffentlichen Informationsanbietern gehört das Nationale Zentrum für Cybersicherheit (NCSC), Bern, welches informiert über

Andere deutschsprachige, offizielle Stellen sind u. a.

  • IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Bonn
  • IKT-Sicherheitsportal des Bundesministeriums für Digitalisierung und Wirtschaftsstandort, Wien

Sicherheits-Expertise

Bei den an ein breiteres Publikum gerichteten Veröffentlichungen von Expertinnen und Experten kann beispielsweise

  • das inzwischen in weiten Kreisen bekannte Privacy-Handbuch grossteils auch als Sicherheits-Handbuch gelesen werden.
  • Einige Sicherheits- und Datenschutz-Experten geben konkrete Empfehlungen ab, wie das etwa die Empfehlungsecke von Kuketz-IT-Security tut. Kuketz bietet daneben Kompendien/Anleitungen für sicherere und privatere Einstellungen von Browser & Co. mit empfohlenen Erweiterungen (Add-ons) an, jeweils für Einsteiger und Fortgeschrittene.
  • Diese zwei und weitere Experten haben den Ruf, “streng” zu sein, was aber für den Abgleich mit der eigenen Realität vorteilhaft sein kann.
  • Auch einzelne Tipps von Informationssicherheits-Firmen können Anhaltspunkte geben, wie ein Beispiel der Seite “IT-Sicherheitstipps von scip AG” zeigt.

Fazit und Zusammenfassung

Alle diese Informationen sind eher ausführlich, vielleicht besonders für kleinere KMU nicht immer übersichtlich.

Jedenfalls sollten heute Grundkenntnisse vorhanden sein, um Fragen wie im Text oben erläutert angehen zu können – zusammenfassend also:

Risiko und Sicherheitsleitlinien

  • Vertrauen auf Tech alleine genügt bei weitem nicht.
  • Was sind wir bereit zu tun, um (untragbare) Konsequenzen eines Ernstfalls zu verhindern?
  • Wissen wir, was geschützt werden muss, wovor und warum, wer für was zuständig ist?
  • Kennen wir unsere Schwachstellen? Wir wissen ja: Jede Kette ist nur so stark wie ihr schwächstes Glied.
  • Was tun wir bei einem schweren Ereignis (Notfallplan)?

Verhalten und Organisation

  • Unvorsichtiges Verhalten kann einen Betrieb lahmlegen oder ruinieren. Misstrauen ist hier gelegentlich angebracht.
  • Haben alle Mitarbeitenden die Punkte verstanden, die sie für eine sichere Nutzung beachten müssen? So wie: zulässige und unzulässige Software, Dienste und Geräte. Ferner Risiken. Wie bspw. E-Mailanhänge, Phishing, Verschlüsselungstrojaner/Ransomware und Schadsoftware, E-Banking Schadsoftware, Chef-/CEO-Betrug, dubiose Webshops, falscher Support (“Microsoft ruft an”), vorgetäuschte Notlage, DDoS u. v. a. m.

Technik und Betrieb

  • Einfach und wirksam kann besser sein als das angeblich “beste”, “blendend neuste” (und teuerste) Produkt.
  • Aufgaben und Verantwortlichkeiten konkret fixieren: Updates, Backups, Konfigurationen, Sicherheitsprodukte betreuen (AV/Antimalware, Firewall, Router usw.).
  • Vorausschauende Sicherheit: über IT-Sicherheit informiert bleiben, Schutzmassnahmen weiterentwickeln und umsetzen, Sicherheit als (Lern-) Prozess, den Sicherheitshorizont auf die gesamte Organisation erweitern.

Zu kompliziert! Brauchen wir das wirklich?

Eines der grössten Probleme dürfte sein, dass

  • sich tendenziell kleinere Firmen zu sicher fühlen, “wer will mich schon angreifen”,
  • demnach bei einem Vorfall weniger gut vorbereitet sind.

“Angriffe” sind jedoch selten Attacken, wie man sie sich vorstellen mag. Sie zielen nicht auf mich oder auf meine Firma ab. Im Gegenteil sind sie (vorerst) oft automatisiert oder erfolgen kombiniert, etwa mit Formen von echt wirkenden Täuschungen, Social Engineering & Co. Viele Vorfälle, nicht alle, können mit angepasstem Verhalten und gesundem Misstrauen vermieden werden.

Hier können Interesse und Grundwissen hilfreich sein.

Aktualisiert: 02.01.2021

  1. Falls doch, Vorschläge bitte gerne: Kontaktinfo 

  2. Wie im Jahr 2020 beispielsweise PCMag (USA) oder c’t von Heise (DE) berichteten: <https://www.pcmag.com/news/the-cost-of-avasts-free-antivirus-companies-can-spy-on-your-clicks> und <https://www.heise.de/ct/artikel/Wie-Avast-die-Daten-seiner-Kunden-verkaufte-4657290.html> 

  3. Wie aktuell die Portierungen von ClamAV für Windows sind, konnte nicht eindeutig herausgefunden werden. Der Wikipedia-Artikel <https://de.wikipedia.org/wiki/ClamAV> (per Abruf 30.12.2020) scheint implizit etwas euphorisch zu sein. 

  4. Nebst vielen andern Diskussionen hier beispielsweise ein kurzer Text zu Virenscanner unter Ubuntu, einem beliebten GNU/Linux: <https://wiki.ubuntuusers.de/Virenscanner/> 

  5. Beispielsweise 2017 bei den Medien “Der Bund” und “NZZ” oder bei den Computer-Zeitschriftn computerworld.ch oder Heise Medien zu spezifischen Problemen: <https://www.derbund.ch/digital/computer/der-virenscanner-ist-selbst-ein-risiko/story/27045709>, <https://www.nzz.ch/computer-sicherheit-kann-denn-anti-malware-software-schaedlich-sein-ld.146038>, <https://www.computerworld.ch/business/malware/antiviren-programme-gefaehrden-sichere-https-verbindungen-1347792.html> und <https://heise.de/-3620159> 

  6. Das bleibt letztlich ein sujektiver Eindruck. Eine umfassender und länger dauernder Vergleichstest wäre aufwendig. 

  7. Zumindest laut einem Wikia/Fandom-Eintrag, abgerufen 30.12.2020, <https://computersecurity.fandom.com/wiki/F-Secure> 

  8. Man könnte sich beispielsweise der Sicht des Europäischen Gerichtshofs (EuGH) zum sogenannten Privacy Shield anschliessen, auch wenn diese Sicht hier nicht direkt relevant ist und unterschiedlich (oft nicht fundiert) beurteilt wird: <http://curia.europa.eu/juris/document/document.jsf?docid=228677&text=&doclang=DE> 

  9. “BSI-Standard 200-2: IT-Grundschutz-Methodik”, Version 1.0. Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn, <www.bsi.bund.de/grundschutz>