Technik

Software hat häufig LückenWie gut schützen sich Virenwächter?

25.11.2014, 13:40 Uhr
Wachhund
Ein guter Virenwächter muss sich auch selbst verteidigen können. (Foto: picture-alliance/ dpa)

Die beste Antiviren-Software nützt nichts, wenn sie selbst angreifbar ist. AV-Test hat untersucht, welche Windows-Programme für den Ernstfall gerüstet sind und welche Hersteller den Selbstschutz nicht ernst genug nehmen.

Mit großer Wahrscheinlichkeit ist keine Software dieser Welt fehlerfrei. Laut Wikipedia weisen die besten Programme immer noch einen Fehler in 2000 Codezeilen auf. Umfangreiche Software hat mehrere Millionen Codezeilen, bei Windows XP sind es beispielsweise rund 40 Millionen. Eine Antiviren-Suite ist dazu da, die Sicherheitslücken, die aus diesen Fehlern resultieren können, zu erkennen und zu schließen. Aber auch ein Antivirenwächter selbst ist eine Software, die Fehler enthält und daher selbst eine Schwachstelle haben könnte. Gelingt es Angreifern, sie auszunutzen, können sie den Virenwächter umgehen und das Computersystem direkt attackieren.

AV-Test-DEP-ASLR-Consumer
Die meisten populären Virenwächter können gut auf sich aufpassen, aber nicht alle. (Foto: AV-Test)

AV-Test berichtet, dass diese Problematik den Herstellern von Schutzpaketen für Windows seit Langem bekannt ist und ihnen kostenlose Tools zur Verfügung stehen, mit denen sie ihren Code absichern können. Diese Schutzmechanismen heißen Address Space Layout Randomization (ASLR) und Data Execution Prevention (DEP).

Zwar bieten auch diese Techniken keinen hundertprozentigen Schutz, aber sie senken das Risiko deutlich, dass eine Schwachstelle ausgenutzt werden kann. Ihr Einsatz sei denkbar einfach, Codeumfang oder Programmlaufzeit würden durch ASLR und DEP nicht beeinflusst, schreibt das unabhängige Institut.

ASLR und DEP

ASLR oder Address Space Layout Randomization steht für eine Speicherverwürfelung, die das Ausnutzen von Sicherheitslücken in Computersystemen erschwert. Durch ASLR werden Adressbereiche den Programmen auf zufälliger Basis zugewiesen. So sollen Angriffe durch einen Pufferüberlauf verhindert oder zumindest erschwert werden.

DEP oder Data Execution Prevention wird auch als NX-Bit (No eXecute) bezeichnet. Der Schutz hat seine Basis bereits in der Hardware. Die Prozessor-Hersteller AMD und Intel haben diese Technik bereits seit 10 Jahren unter den Eigennamen EVP bzw. XD-Bit in all ihren Prozessoren implementiert. Sie soll verhindern, dass Programme beliebige Daten als Programm ausführen und auf diese Weise Schadcode starten.

Einer der größten Befürworter dieser Techniken ist seit langer Zeit Microsoft. ASLR wird ohne Ausnahme seit Windows Vista verwendet. DEP wird seit Version XP SP 2 unterstützt. Fast immer reißt eine installierte Fremd-Software, die Lücken in ein Windows-System. Populäre Vertreter dieser Gattung sind etwa der Adobe Reader, Flash oder Java.

AV-Test hat untersucht, ob und wie umfangreich Hersteller von Antivirenwächtern den Zusatzschutz einsetzen. Die Ergebnisse haben die Prüfer nach Produkten für private Nutzer und für Unternehmen getrennt aufgeführt. Bei den Internet-Security-Suiten für Privatanwender wurden insgesamt 24 Produkte untersucht und nach 32 und 64 Bit getrennt aufgeführt.

100 Prozent nicht unbedingt nötig

Die einzigen Produkte, die ASLR und DEP zu 100 Prozent einsetzen, kommen von ESET (Consumer) und Symantec (Business). Avira, G Data, McAfee und AVG setzen den Zusatzschutz zu 100 Prozent nur in den 64-Bit-Dateien ihres Produkts ein. Bei 32 Bit schwankt der Wert zwischen 90 und fast 100 Prozent. Insgesamt setzt die Hälfte aller Schutzpakete zu über 90 Prozent auf den Einsatz von ASLR und DEP. Am wenigsten verwenden eScan (17,5 Prozent) und Kingsoft (19 Prozent) die Techniken. Von den bekannten Anbietern fällt vor allem Trend Micro mit 71,8 Prozent auf.

Eine Befragung der Hersteller ergab allerdings, dass ein hundertprozentiger Einsatz von ASLR und DEP nicht unbedingt sein muss. So können selbst entwickelte Schutzmechanismen eingesetzt werden, besonders geschützte Bereiche sind nicht kompatibel oder Dateien werden nicht mehr aktiv im Programm verwendet. Hersteller, die nicht abgesicherte Bausteine hinzukaufen, haben AV-Test zugesichert, dies zu ändern.

Quelle: ntv.de, kwe

Partner-Service
Anzeige