Reicht der Microsoft-Defender als Virenschutz aus?

Es gibt in der Fachwelt eine lebhafte öffentliche Diskussion über die grundsätzliche Sinnhaftigkeit kommerzieller Virenscanner. Diese Diskussion wird leidenschaftlich, aber leider nicht immer sachlich geführt.

Bei der Diskussion im Internet schwingt manchmal ein fast verschwörungstheoretisches Grundmisstrauen gegen Hersteller von Virenschutzprogrammen mit, die verdächtigt werden, den Kunden Schlangenöl zu verkaufen oder zumindest ein Eigeninteresse daran haben, dass Computer anfällig gegen Schadsoftware sind, weil das Ihre Geschäftsbasis ist. Wenn sie nicht gar heimlich selbst Schadsoftware schreiben.

Das geht sicherlich zu weit, aber kennen Sie noch das Programm "Norton Antivirus" aus der Anfangszeit der Virenscanner? Es hat zum Beweis seiner Unverzichtbarkeit derart massiv vor harmlosen "Angriffen" gewarnt, dass er selbst schon als Schadsoftware betitelt wurde. Oder an McAfee, das sich mit seinem "Orchestrator" (Diesen Namen konnte sich nur ein größenwahnsinniges Management ausdenken) auf dem Rechner derart breit machte, dass man dankbar sein musste für jedes Prozent CPU-Zeit, das der Virenscanner einem gnädigerweise übrig ließ. Ganz abgesehen davon, dass die Deinstallation manchmal noch schwieriger war, wie das Entfernen eines Trojaners. Auch die aufdringliche Weise, wie kostenlose Virenscanner zur kostenpflichtigen Aufrüstung auf ein Bezahlmodell nötigen, trägt nicht gerade dazu bei, die Branche als Hort der Seriosität zu betrachten.

Auf der anderen Seite stehen die Firmen nun mal im harten Wettbewerb um Kunden, und es ist sicherlich unfair, alle über einen Kamm zu scheren, daher beschränken wir uns hier auf belastbarere Fakten und lassen den emotionalen Bias etwas beiseite.

Die Argumente der Virenschutz-Gegner

Hauptargument der Gegner kommerzieller Virenschutzprogramme ist, dass es wichtiger sei, Computer regelmäßig upzudaten. Das ist zwar richtig, aber als Argument gegen Virenscanner Unfug, denn niemand behauptet ernsthaft, Virenscanner seien ein Ersatz für regelmäßige Updates – sie sind eine zusätzliche Sicherheitsmaßnahme. Und um die regelmäßigen Updates kümmert sich hoffentlich ein kompetenter Administrator oder Dienstleister.

Das stichhaltigste Argument gegen kommerzielle Virenscanner ist die Tatsache, dass sie zusätzliche Angriffsvektoren schaffen. Haupt-Protagonist war der ehmalige Mozilla-Mitarbeiter Robert O'Callahan, der medienwirksam 2017 zum sofortigen Entfernen aller Virenschutzprogramme aufrief. Der technische Hintergund ist plausibel, bezieht sich jedoch überwiegend auf theoretisch mögliche, gezielte Angriffe und geht daher an der Realität der IT-Administration vorbei. Erfolgreiche Angriffe über Virenscanner-Vektoren sind praktisch nicht bekannt, wohl aber unzählige lahmgelegte Computer und Netzwerke, die wenigstens teilweise mit guten Virenschutzlösungen hätten verhindert werden können.

Ein zweites Argument lautet, dass Virenscanner gegen einen Großteil neuer Angriffe machtlos seien. Dieses Argument für sich alleine genommen zieht jedoch nicht, denn egal wie gering ein zusätzlicher Schutz sein mag: es ist ein zusätzlicher Schutz.

Als drittes Argument wird oft angeführt, dass der Microsoft-Defender inzwischen seinen Rückstand bei der Erkennungsrate aufgeholt habe. Das mag so sein. In Vergleichstests ist dabei oft von 99 bis 100% Erkennungsrate die Rede. Die Seriosität solcher Aussagen mal beiseite gelassen, wäre eine ähnlich hohe Erkennungsrate zwischen Virenscannern und dem Defender aber auch kein Argument gegen den Einsatz eines zusätzlichen Virenschutzprogramms. Man könnte die Argumentation auch umkehren: Bei einem professionelles Sicherheitsaudit lässt man die eigene Software ja auch nicht von den eigenen Entwicklern prüfen und zertifizieren, warum sollte man dieses Prinzip nicht auch beim Virenschutz befolgen?

In der öffentlichen Diskussion zwar selten gehört aber umso ernst zu nehmender sind die Nebenwirkungen von Virenscannern, die der IT-Administration wegen schlechter Produktqualität oder ausufernder Zusatzfeatures unnötigen Mehraufwand bescherern. Zu nennen sind Probleme beim Windows-Update, nicht mehr funktionierende Netzanmeldungen, Probleme mit de Email- und Outlook-Plugins, schwer zu entfernende ältere Virenscanner-Versionen, Probleme mit den Management Agents, ausufernde oder schlecht funktionierende Management-Software usw. Diese Liste könnte endlos fortgesetzt werden. Hier unterscheiden sich Anbieter in der Qualtiät ihrer Produkte erheblich, aber angesichts des Schadens durch eine Verschlüsselungstrojaner lässt sich das alles möglicherweise noch als hinzunehmender Aufwand rechtfertigen.

Professionelle Virenscanner enthalten oft auch Plugins für Microsoft Exchange. Neben den zusätzlichen Angriffsvektoren in einer von außen erreichbaren Infrastruktur (Stickwort OWA, ActiveSync) verursachen solche Plugins nicht selten gravierende funktionale Probleme im Betrieb. Eine kluge Kosten-Nutzern-Abwägung kann daher zum Schluss kommen, auf Exchage, SQL- und Applikationsservern keinen zusätzlichen Virenschutz zu installieren, um die Verfügbarkeit nicht zu vermindern, sehr wohl aber auf Remote Desktop- und Fileservern, bei denen ein sehr viel höheres Befallsrisiko besteht und weniger funktionale Nebenwirkungen zu befürchten sind.

Selbstverständlich brauchen Sicherheitslösungen Rechenzeit und haben einen negativen Einfluss auf die Performance eines Computers. Die IT-Sicherheit muss jedoch grundsätzlich Vorrang vor der Performance haben, solange nicht die Arbeitsfähigkeit der Mitarbeiter unzumutbar einschränkt ist. Es gibt Fälle, in denen ein Virenscanner die Performance von Anwendungen erheblich bremst, aber das läßt sich meist durch Ausschluss von unnötigen Scan-Funktionen beheben.

Der Microsoft-Defender scheint in der Tat deutlich perfomanter zu sein als kommerzielle Virenschutzprogframme und es dürfte schon alleine aufgrund des Informationsvorsprungs bei der internen Kommunikation mi den Betriebssystementwicklern stabiler funktionieren und weniger Nebenwirkungen geben wird als beim Einsatz von externen Antivirenlösungen, deren Produktqualität oft sehr stark zu wünschen übrig lässt.

Die Argumente der Virenschutz-Befürworter

Die Hauptvorteile einer kommerziellen Virenschutzlösung gegenüber einem rudimentären Schutz wie dem Microsoft Defender sind:

• Zentrales Management: Der Administrator kann zentral bestimmen, welche Schutzmodule wo aktiviert sind, welche Ausschlüsse vorgenommen werden, und brauchen das nicht auf allen Servern zeitaufwendig manuell zu tun. Vorgaben für PCs und Server können gemeinsam und einheitlich an einer zentralen Stelle verwaltet werden.
• Einheitlichkeit: Die gewünschten Einstellungen werden auf allen Geräten gleichermaßen ausgebracht, gegenüber manuellen Einstellungen kann nichts vergessen werden. Das ist wichtig für die Einhaltung eines hohen Qualitätsstandards der IT-Sicherheit.
• Vollständigkeit: Es ist schnell und einfach erkennbar, welche Computer keinen oder fehlerhaften Schutz haben. Da Schadcode oft als erstes den Virenscanner deaktiviert, kann damit möglicherweise ein Befall erkannt werden, der dem Scanner noch nicht bekannt ware.
• Benachrichtigung: Verdächtige Aktivitäten können zentral und zeitnah erkannt und erfasst werden, ebenso nicht funktionierende Updates oder abgeschaltete Module. Im Fall einer Infaktion zählt jede Minute um zu verhindern, dass Schadcode sich ausbreitet.
• Funktionsumfang: kommerzielle Lösungen haben in der Regel einen erheblich größeren Funktionsumfang als der rudimentäre Microsoft Defender. Auch wenn in der Praxis nicht alle Module aktiviert werden müssen und manche vielleicht sogar überflüssig sind, ist es gut, diesen zusätzlichen Schutz bei Bedarf einschalten zu können.
• Nachweisbarkeit: Ein angemessener, flächendeckender Virenschutz kann als Teil einer guten IT-Sicherheitsvorsorge jederzeit nachgewiesen werden.
• Haftung: Im Schadensfall wird üblicherweise schnell ein Schuldiger gesucht. Selbst wenn Sie privat der Meinung sind, der Microsoft Defender sei ausreichend, wird ein Gutachter das mit großer Wahrscheinlichkeit anders sehen und als Verstoß gegen die Best Practices werten. Gegen einen Gutachter haben Sie vor Gericht selbst mit den besten Argumenten keine Chance.

Fazit

Manche Argumente von Sicherheitsexperten gegen den Einsatz kommerzieller Virenschutzprogramme sind zwar nicht von der Hand zu weisen, gehen aber teilweise an der Realität eines Firmennetzwerks vorbei.

Unsere Empfehlung lautet daher, grundsätzlich alle Windows PCs und zumindest Windows-Fileserver und Remote Desktop-Server mit einer zentral administrierbaren Virenschutzlösung zu betreiben. Betrachten Sie die Virenschutzlösung nicht als Schutz vor Angriffen sondern nur als zusätzliches Sicherheitsnetz, das im Notfall vielleicht das Schlimmste verhindert. Schützen Sie den Emailverkehr mit einem guten Spam- und Virenschutz, damit schädliche Mails gar nicht erst den Mailserver erreichen. Und vor allem: Halten Sie bei Ihren Mitarbeitern das Bewusstsein für Datenschut und Datensicherheit aufrecht!