Reicht der Microsoft-Defender als Virenschutz aus?

Es gibt in der Fachwelt eine lebhafte öffentliche Diskussion über die grundsätzliche Sinnhaftigkeit kommerzieller Virenscanner. Diese Diskussion wird leidenschaftlich, aber leider nicht immer sachlich geführt.

Bei der Diskussion im Internet schwingt manchmal ein fast verschwörungstheoretisches Grundmisstrauen gegen Hersteller von Virenschutzprogrammen mit, die verdächtigt werden, den Kunden Schlangenöl zu verkaufen oder zumindest ein Eigeninteresse daran haben, dass Computer anfällig gegen Schadsoftware sind, weil das Ihre Geschäftsbasis ist. Wenn sie nicht gar heimlich selbst Schadsoftware schreiben.

Das geht sicherlich zu weit, aber kennen Sie noch das Programm "Norton Antivirus" aus der Anfangszeit der Virenscanner? Es hat zum Beweis seiner Unverzichtbarkeit derart massiv vor harmlosen "Angriffen" gewarnt, dass er selbst schon als Schadsoftware betitelt wurde. Oder Programme wie McAfee, das sich mit ihrem "Orchestrator" (Diesen Namen konnte sich nur ein größenwahnsinniges Management ausdenken) auf dem Rechner derart breit machte, dass man dankbar sein musste für jedes Prozent CPU-Zeit, das der Virenscanner einem gnädigerweise übrig ließ. Ganz abgesehen davon, dass die Deinstallation manchmal noch schwieriger war, wie das Entfernen eines Trojaners. Auch die aufdringliche Weise, wie kostenlose Virenscanner ihre Benutzer heutzutage zur kostenpflichtigen Aufrüstung auf ein Bezahlmodell nötigen, trägt nicht gerade dazu bei, die Branche als Hort der Seriosität zu betrachten.

Auf der anderen Seite stehen die Firmen nun mal im harten Wettbewerb um Kunden, und es ist sicherlich unfair, alle über einen Kamm zu scheren, daher beschränken wir uns hier auf belastbarere Fakten und lassen den emotionalen Bias etwas beiseite.

Die Argumente der Virenschutz-Gegner

Hauptargument der Gegner kommerzieller Virenschutzprogramme ist, dass es wichtiger sei, Computer regelmäßig upzudaten. Das ist zwar richtig, aber als Argument gegen Virenscanner Unfug, denn niemand behauptet ernsthaft, Virenscanner seien ein Ersatz für regelmäßige Updates – sie sind eine notwendige, zusätzliche Sicherheitsmaßnahme. Und um die regelmäßigen Updates kümmert sich hoffentlich ein kompetenter Administrator oder eine kompetenter Dienstleister.

Das einzig wirklich stichhaltige Argument gegen kommerzielle Virenscanner ist die Tatsache, dass sie zusätzliche Angriffsvektoren schaffen. Haupt-Protagonist war der ehmalige Mozilla-Mitarbeiter Robert O'Callahan, der medienwirksam 2017 zum sofortigen Entfernen aller Virenschutzprogramme aufrief. Der technische Hintergund ist  ist plausibel, bezieht sich jedoch nur auf theoretisch mögliche, gezielte Angriffe und geht daher an der Realität der IT-Administration deutlich vorbei. Erfolgreiche Angriffe über Virenscanner-Vektoren sind praktisch nicht bekannt, wohl aber unzählige lahmgelegte Computer und Netzwerke, die wenigstens teilweise mit guten Virenschutzlösungen hätten verhindert werden können.

Ein zweites Argument lautet, dass Virenscanner gegen einen Großteil neuer Angriffe machtlos seien. Aber selbst wenn nur 20% aller Angriffe durch Virenscanner abgewehrt würden, wäre es absurd, deshalb ganz darauf zu verzichten.

Als drittes Argument wird oft angeführt, dass der Microsoft-Defender inzwischen seinen Rückstand bei der Erkennungsrate aufgeholt habe. Das mag so sein. In Vergleichstests ist dabei oft von 99 bis 100% Erkennungsrate die Rede. Die Seriosität solcher Tests darf aber mit Recht bezweifelt werden, denn diese Erkennungsrate widerspricht den davor genannten Erkenntnissen. Sie widerspricht auch unseren eigenen Erkenntnissen über nicht erkannte Schadsoftware bei Kunden. Aber selbst wenn die Erkennungsrate stimmen würde, wäre eine ähnlich hohe Erkennungsrate zwischen Virenscannern und dem Defender kein Argument gegen den Einsatz eines kommerziellen Virenschutzprogramms.

In der öffentlichen Diskussion zwar selten gehört aber umso ernst zu nehmender sind die Nebenwirkungen von Virenscannern, die ja auch das Arbeiten behindern und der IT-Administration lästigen Mehraufwand bescherern, wenngleich natürlich nicht so radikal wie ein Verschlüsslungstrojaner. Zu nennen sind Probleme beim Windows-Update, nicht mehr funktionierende Netzanmeldungen, Probleme mit dem Outlook-Plugin, schwer zu entfernende ältere Virenscanner-Versionen, Probleme mit den Management Agents, ausufernde oder schlecht funktionierende Management-Software usw. Diese Liste könnte endlos fortgesetzt werden. Hier unterscheiden sich Anbieter in der Qualtiät ihrer Produkte erheblich, aber angesichts des Schadens durch eine Verschlüsselungstrojaner lässt sich das alles noch als Aufwand rechtfertigen, der leider unvermeidlich ist.

Selbstverständlich brauchen Sicherheitslösungen Rechenzeit und haben einen negativen Einfluss auf die Performance eines Computers. Die IT-Sicherheit muss jedoch grundsätzlich Vorrang vor der Performance haben, solange nicht die Arbeitsfähigkeit der Mitarbeiter unzumutbar einschränkt ist. Uns ist in der Praxis keine Software bei irgend einem unserer Kunden bekannt, die durch Virenlösungen für die Anwender unzumutbar langsam geworden wäre. Selbst wenn das passieren sollte, besteht immer noch die Möglichkeit besteht, einzelne Verzeichnisse, Datentypen oder Programme von der Prüfung auszuschließen.

Der Microsoft-Defender scheint in der Tat deutlich perfomanter zu sein als kommerzielle Virenschutzprogframme. Möglicherweise hat das aber nur damit zu tun, dass er weniger gründliche Tests durchführt. Aber das ist Spekulation.

Die Argumente der Virenschutz-Befürworter

Die Hauptvorteile einer kommerziellen Virenschutzlösung gegenüber einem rudimentären Schutz wie dem Microsoft Defender sind:

  • Zentrales Management: Der Administrator kann zentral bestimmen, welche Schutzmodule wo aktiviert sind, welche Ausschlüsse vorgenommen werden, und brauchen das nicht auf allen Servern zeitaufwendig manuell zu tun. Vorgaben für PCs und Server können gemeinsam und einheitlich an einer zentralen Stelle verwaltet werden.
  • Einheitlichkeit: Die gewünschten Einstellungen werden auf allen Geräten gleichermaßen ausgebracht, gegenüber manuellen Einstellungen kann nichts vergessen werden. Das ist wichtig für die Einhaltung eines hohen Qualitätsstandards der IT-Sicherheit.
  • Vollständigkeit: Es ist schnell und einfach erkennbar, welche Computer keinen oder fehlerhaften Schutz haben. Da Schadcode oft als erstes den Virenscanner deaktiviert, kann damit möglicherweise ein Befall erkannt werden, der dem Scanner noch nicht bekannt ware.
  • Benachrichtigung: Verdächtige Aktivitäten können zentral und zeitnah erkannt und erfasst werden, ebenso nicht funktionierende Updates oder abgeschaltete Module. Im Fall einer Infaktion zählt jede Minute um zu verhindern, dass Schadcode sich ausbreitet.
  • Funktionsumfang: kommerzielle Lösungen haben in der Regel einen erheblich größeren Funktionsumfang als der rudimentäre Microsoft Defender. Auch wenn in der Praxis nicht alle Module aktiviert werden müssen und manche vielleicht sogar überflüssig sind, ist es gut, diesen zusätzlichen Schutz bei Bedarf einschalten zu können.
  • Nachweisbarkeit: Ein angemessener, flächendeckender Virenschutz kann als Teil einer guten IT-Sicherheitsvorsorge jederzeit nachgewiesen werden.
  • Haftung: Im Schadensfall wird üblicherweise schnell ein Schuldiger gesucht. Selbst wenn Sie privat der Meinung sind, der Microsoft Defender sei ausreichend, wird ein Gutachter das mit großer Wahrscheinlichkeit anders sehen und als Verstoß gegen die Best Practices werten. Gegen einen Gutachter haben Sie vor Gericht selbst mit den besten Argumenten keine Chance.

Fazit

Manche Argumente von Sicherheitsexperten gegen den Einsatz kommerzieller Virenschutzprogramme sind zwar nicht von der Hand zu weisen, gehen aber an der Realität eines Firmennetzwerks vorbei.

Unsere dringende Empfehlung lautet daher, grundsätzlich alle Windows PCs und Server mit einer professionellen Virenschutzlösung zu betreiben. Vertrauen Sie nicht darauf, dass der Microsoft Defender einen ausreichenden Schutz bietet. Betrachten Sie aber auch die Virenschutzlösung nur als Sicherheitsnetz, das im Notfall das Schlimmste verhindert. Schützen Sie den Emailverkehr zusätzlich mit einem Spamschutz, damit schädliche Mails gar nicht erst den Mailserver erreichen. Und am Wichtigsten: Halten Sie bei Ihren Mitarbeitern das Bewusstsein aufrecht, wie wichtig ihre Vorsicht beim Öffnen von Anhängen oder beim Klicken auf Content ist!