Ein Ex-Mozilla-Entwickler hält Antivirus-Programme nicht nur für überflüssig, sondern sogar für schädlich. Seine Argumente sind nicht von der Hand zu weisen, aber soll man wirklich auf Schutz-Software verzichten?

Robert O'Callahan ist ein altgedienter Mozilla-Entwickler, der nach 16 Jahren Arbeit für das Projekt im vergangenen März seinen Abschied nahm. Der Mann genießt in der Branche großes Ansehen und daher verursacht ein Blogeintrag von ihm jetzt großen Wirbel. Darin lässt O'Callahan an Herstellern von Antivirus-Software (AV-Software) kaum ein gutes Haar und rät Anwendern, deren Software abzuschalten.

Der Entwickler schreibt, der Nutzen der Schutz-Programme sei kaum belegbar. Sie seien viel wahrscheinlicher selbst ein großes Sicherheitsproblem. Er verweist unter anderem auf Fehlerberichte die bei Google regelmäßig in Project Zero einlaufen. Anfang Januar berichtete "ZDNet" beispielsweise über eine Lücke in Kaspersky Anti-Virus. Schutz-Programme öffneten nicht nur viele Einfallstore, die Entwickler der Antivirus-Programme ignorierten auch Sicherheitsstandrads. Außerdem mache es der schwache Code Browser-Herstellern und andere Entwicklern schwer, die Sicherheit ihrer Produkte zu verbessern. Unter anderem habe AV-Software mehrmals Firefox-Aktualisierungen blockiert und so verhindert, dass Nutzer wichtige Sicherheits-Updates erhielten. Entwickler würden viel Zeit dafür verschwenden, durch Schutz-Programme verursachte Probleme zu beheben, schreibt O'Callahan.

Als einzige Ausnahme nennt er Microsofts oft geschmähtes kostenloses Bordmittel, den Windows Defender. Dessen Entwickler seien grundsätzlich kompetent. Nutzer von Windows 7 oder Leute, die sogar noch Windows XP installiert hätten, seien mit Schutz-Programmen aber wohl etwas sicherer unterwegs.

AV-Hersteller am längeren Hebel

Interessant ist, warum der ehemalige Mozilla-Entwickler sich erst jetzt Luft macht. Software-Hersteller müssten sich mit den Anbietern von AV-Software gutstellen, weil sie auf deren Kooperation angewiesen seien, wenn ihre Produkte durch ein Schutz-Programm Probleme hätten, schreibt er. Die Nutzer würden immer die andere Software für Schwierigkeiten verantwortlich machen, nicht die AV-Software. Wagte es ein Entwickler trotzdem mal aufzumucken, machten ihn die AV-Hersteller mit dem PR-Dampfhammer platt.

Das ist starker Tobak, aber O'Callahan steht mit seiner Meinung nicht alleine. Ähnlich kritisch sieht auch Justin Schuh die AV-Branche, der für die Sicherheit von Googles Chrome-Browser zuständig ist. Deren Software sei für ihn das größte Hindernis, einen sicheren Browser liefern zu können, twitterte er. Auch Mozillas Chefin für Website-Sicherheit April King ist dieser Ansicht. AV-Software verursache haufenweise Sicherheitsprobleme für Firefox, antwortete sie Schuh.

Ausführlich hat "Golem" über die möglichen Sicherheitsprobleme durch Sicherheits-Software berichtet. Moderne AV-Software könne nicht mehr wie früher hauptsächlich anhand von Signaturen bekannte Angreifer identifizieren, sondern müsse intelligenter arbeiten und tiefer in das System eingreifen, um Malware beispielsweise an ihrem Verhalten zu identifizieren. Dies führe zu einer enormen Komplexität und damit zu Risiken, schreibt "Golem". Angreifer könnten bei einer fehlerhaften Programmierung die weitgehenden Zugriffsrechte und – möglichkeiten der AV-Software ausnützen. Außerdem sei es einer Software grundsätzlich nicht möglich, eine andere Software eindeutig zu analysieren. Ähnlich pessimistisch betrachtet ein Artikel von "PC World" die AV-Produkte. Man könne den Herstellern zwar nicht vorwerfen, langsam auf Schwachstellen zu reagieren. Das Problem sei aber die hohe Anzahl und die Art der Lücken in den Produkten.

Updates sind essenziell

Die Frage ist also: Sollte man auf AV-Software verzichten, weil sie selbst mehr Probleme verursacht als zu beheben? Oder ist es besser, ein System trotz der Unzulänglichkeiten von so einem Programm schützen zu lassen? Wie Google bereits 2015 in einer Umfrage feststellte, hat eine Mehrheit der Experten andere Prioritäten. Für sie sind Software-Updates mit Abstand das wichtigste Mittel, um ein System abzusichern. Außerdem sei es wichtig zu verhindern, dass Nutzer versehentlich selbst Malware installieren, indem sie beispielsweise auf Anhänge in E-Mails klicken, so "Golem". Ein mögliches Instrument dafür sehen Experten im sogenannten Whitelisting. Das bedeutet, es sind nur bestimmte Programme zur Installation zugelassen, unbekannte werden blockiert.

Nutzern grundsätzlich zu raten, auf AV-Software zu verzichten, geht wahrscheinlich zu weit. Nicht jeder kennt sich gut genug aus, um sich nur auf eine gute Systempflege zu verlassen. O'Callahan hat aber eine Diskussion an die breite Öffentlichkeit gebracht, die geführt werden muss. Die Hersteller werden dazu sicher auch noch einiges beitragen wollen. Microsoft hält sich verständlicherweise zurück, was Empfehlungen betrifft. Es wird allerdings mit dem Creators Update für Windows 10 das Windows Defender Security Center einführen. Dort werden Nutzer alle sicherheitsrelevanten Informationen an einem Ort finden und verwalten können. Sie sollen mit Bordmitteln von Anfang an geschützt werden, "um den bösen Jungs keine Chance zu geben", heißt es im entsprechenden Blogeintrag. Nutzer könnten aber auch die AV-Software ihrer Wahl einbinden.