– Schreibfehler dürfen gerne als On-Demand-Infection betrachtet werden –




AV-Test

Oft wird darüber gestritten, ob man für einen Mac ein Anti-Viren-Programm braucht oder eben nicht. Aber diese Frage sollte eigentlich zuerst einmal nicht im Fokus stehen. Viel wichtiger ist doch zuerst einmal, welchem Programm man überhaupt blind oder weitestgehend blind vertrauen kann.

Nichtsdestotrotz muss man sich bewusst sein, dass die Angriffe, wie auch die Entwicklung von Schädlingen für den Mac stetig zunehmen. Gegenwärtig sieht zwar noch alles recht ruhig aus, da die Systeme von Apple recht gute Sicherheitsmechaniken haben. Aber die Programmierer von Schadsoftware schlafen nicht und werden sich in Zukunft auch immer mehr mit dem wachsenden Markt des Macintosh und der mobilen Geräte von Apple beschäftigen, wie sie sich zuvor auch schon seit etlichen Jahren mit den Mechanismen der Anti-Viren-Programme und von unterschiedlichen Typen von Firewalls auseinandergesetzt haben, um Schwachstellen zu finden. Die Grundlegende Frage bleibt somit nur: „Wie lange kann ein Mac noch als sehr sicher oder unangreifbar bezeichnet werden“.

Gegenwärtig dienen solche Programme hingegen überwiegen dafür, um keine Schädlinge an Nutzer mit Windows zu übergeben.


Schädlinge erkennen – wie die Programme funktionieren
Trojaner, Würmer, Adware und andere Schädlinge wurden in der Vergangenheit überwiegen mit Signaturen (Erkennungsmerkmalen) gefunden, die in einer Datenbank enthalten sind. Dies ist grundsätzlich die schnellste und sicherste Methode um einen Schädling aufzufinden und Fehlentscheidungen zu vermeiden. Hierfür muss jedoch die Datenbank immer auf dem aktuellsten Stand sein, die in der Regel 8.000.000 bis 12.000.000 Signaturen enthält und somit auch rund 150 bis 250 Megabyte groß ist. Soweit die Erkennungsmerkmale des Schädlings noch nicht in der Datenbank hinterlegt sind, konnte dieser bisher auch nicht identifiziert werden und verrichte seine Arbeit.

Heutzutage wird neben den Signaturen auch eine Verhaltensanalyse eingesetzt, um bisher unbekannte Schädlinge aufzufinden. Hierfür werden alle Daten unter anderem in einer virtuellen Umgebung ausgesetzt, wo sie keinen Schaden am Betriebsystem anrichten können – sprich: sie sind von allem abgeschottet. In der virtuellen Umgebung werden die Daten anschließend geprüft. Soweit ein Schädling dabei sein sollte, wird dem Schädling nun ein aktiv genutztes Betriebssystem vorgegaukelt. Früher funktionierte dies Sicherheitstechnologie nach einer Zeit oft nicht mehr, da die Programmierer von Schädlingen analysiert haben, in welchen Punkten sich die virtuelle Umgebung vom Verhalten des Nutzer unterscheidet. So kam es dann dazu, dass die Schädlinge so lange untätig waren, bis sie als unproblematisch eingestuft wurden. Anschließend könnten sie in das angreifbare System gelangen und ihre Arbeit beginnen.

Seit Jahren arbeiten die Entwickler von Anti-Viren-Programmen nun daran, dass sich die virtuelle Umgebung genau wie ein menschlicher Nutzer verhält und der Schädling somit bereits in der virtuellen Umgebung sein Vorhaben preisgibt. Somit kann im weiteren Schritt sein Verhalten genau analysiert werden und entschieden werden, ob es nun ein Schädling ist oder eben nicht.

„
Ein Neuling im Markt ist das kostenlose „360 Internet Security“ von Qihoo aus China. Aktuell gibt es dieses Programm leider nur für Windows. Aber auch für den Mac wird es sehr wahrscheinlich auf dem Markt kommen. Hierbei handelt es sich um ein kostenloses Programm, dass bereits bei einigen Instituten sehr gut abgeschnitten hat. – Nutzt wahlweise unter anderem die Datenbanken von Avira und Bitdefender.
“

Welchen Umfang haben heutige Anti-Viren-Programme?
Genau genommen handelt es sich nicht nur um eine Software, die einem vor Viren, Trojaner und so weiter, schützt. Eher ist es ein Personenschutz-Programm, dass auf den heutigen digitale Alltag angepasst ist. Denn es beinhaltet neben Technologien gegen Schädlinge, bei einigen bezahlten Diensten, auch eine Firewall. Bei kostenlosen Programmen ist hingegen die Prüfung der jeweiligen Webseiten, der E-Mails oder gar von Sozialen Netzwerken wie Twitter und Facebook oft auch enthalten.Es geht somit nicht nur um Malware oder Ähnlichem.

On-Demand-Download / Drive-by-Infection – Infiziert beim vorbeifahren /-surfen.
Diese Form der Infektion findet während dem Aufenthalt auf der Webseite statt. Hierbei handelt es sich um eine neue Form, um einen Computer anzugreifen. Auch hat sich in letzter Zeit gezeigt, dass die Menge an Spam-Mails mit beigefügtem Anhang abnimmt. Stattdessen sind meisten Webadressen enthalten. Der Schädling ist somit nicht mehr in der E-Mail enthalten, sondern wird während dem besuchen der Webseite unbemerkt auf den Computer geladen.

Das Problem ist nun, dass sogar seriöse Webseiten beziehungsweise Server gehackt und manipuliert werden. Dies bedeute: Wenn sie zum Beispiel jeden Tag die Nachrichten auf der Süddeutschen lesen, kann an einem Tag der Server manipuliert sein und werden von diesem Angegriffen. Somit werden Freunde plötzlich zu Feinden, ohne dass der Nachrichtendienst etwas davon wusste.

Schädlinge in der Firmware (Software der Hardware)
Eine neue Steigerung der Internet-Kriminalität ist die Manipulation der Firmware der Festplatten. Sobald die infiziert ist, kann der Schädling nur noch von Experten entfernt werden. Ein Anti-Viren-Programm ist dagegen machtlos, sobald sch dieser installiert hat. Gegenwärtig stellt dies für die meisten jedoch kein Problem dar, da die Angriffe auf ausgewählte Ziele durchgeführt werden.


Wer braucht ein Anti-Viren-Programm auf seinem Mac?
Privat » Gegenwärtig ist das Risiko eher noch sehr gering sich einen Schädling einzufangen, wenn man sich korrekt im Internet fortbewegt und sich allgemein korrekt verhält. Wenn man dies außer acht lässt ist ein Schutzprogramm eher dafür gut, um keine Schädlinge an Nutzer von Windows per E-Mail zu schicken. Nun werden einige erwähnen: „Aber die sind doch lebst für ihre eigene Sicherheit zuständig“. Dies ist natürlich korrekt. Nur bringt es niemanden etwas, wenn man eine Nachricht losschickt, jedoch nicht ankommt, weil der Mail-Provider die E-Mail gelöscht hat. Immerhin bekommt der Empfänger gegebenenfalls dann eine Nachricht, dass die E-Mail aus Sicherheitsgründen nicht zugestellt wurde. Nichtsdestotrotz kann der Schädling auch nicht erkannt werden und zusätzlich die Schutzsoftware eher weniger gut sein – wie unter anderem ClamAV oder ClamXav eben.


Gewerblich » In Unternehmen, Forschungseinrichtungen und staatlichen Einrichtungen sieht es wieder komplett anders aus. Täglich werden dort hunderte E-Mails von A nach B verschickt und man weiß meistens noch nicht mal, von wem man die Nachricht bekommen hat – wie zum Beispiel bei einer Frage von einem Kunden zu einem Produkt. Ob das beigefügte PDF-Dokument oder die JPG-Grafik nun einen Schädling enthält kann optisch dann meistens nicht erkannt werden. Genauso wenig kann häufig nicht festgestellt werden, ob der beigefügte Link zu einer Webseite eine Drive-by-Infection verursachen würde.

Natürlich ist es in diesem Bereich auch dringlichst zu vermeiden, dass man ungewollt einen Schädling an einen Kunden oder einer anderen Person verschickt. Dies könnte anschließend zu gewissen Unannehmlichkeiten führen.

In diesen hochbrisanten Bereichen ist auch die mögliche Infektion der Firmware von Festplatten zu beachten – siehe: „Schädlinge in der Firmware (Software der Hardware)“ Unternehmen sind somit einer weitaus größeren Menge an Kriminellen ausgesetzt als Heimanwender.

Firewall: Little Snitch und andere
Diese Firewall überprüft alle ausgehenden Daten. Dies kann dem Anwender zwar dabei helfen, dass seine Privatfähre geschützt wird, soweit sich ein Schädling auf dem Mac breit gemacht hat. Sobald die Programmierer von Schädlingen jedoch diese Barriere bei ihrer Software mit einplant haben, kann dieser somit diese Firewall auch umgehen, soweit eine Schwachstelle gefunden wurde.

Eine hochmoderne Firewall prüft hingegen nicht nur die Ports (durch welches Tor, darf welche Datei), sondern prüfen sogar das Verhalten der Dateien. Hierbei handelt es sich somit um eine intelligente Firewall.

Nachdem aktuellen Kenntnisstand hat Apple zwar keine intelligente aber eine Programmbezogene Firewall.

Angriffe aus dem Internet: Flash Player, Oracle Java, Adobe Reader
Am stärksten finden Attacken über Java von Oracle und dem Browser selbst statt. Kaum wird hingegen der „Adobe Flash Player“ oder „Adobe Reader“ als Schwachstelle ausgenutzt. Bei Letzterem kommt noch hinzu, dass das betrachten von PDF-Dokumenten direkt auf Webseiten in der Regel das Problem darstellt – sprich: Der Server nutzt Schwachstellen im Programm, um eine Verbindung zum System aufzubauen.

Obwohl der Flash Player eher nur zu 4% für einen Angriff genutzt wird, versucht man hierbei gerne mit Hilfe der Nutzers den Zugang auf den Mac zu vereinfachen. Diesbezüglich gab es bereits Fälle, in denen der Computer darauf hingewiesen hat, dass es eine neue Version des Flash Player‘s gibt. In Wirklichkeit handelte es sich um eine künstlich erschaffene Meldung, die den Nutzer dazu bewegen sollte eine abgeänderte Version zu installieren, wodurch der Zugriff auf den Computer erheblich vereinfacht wird. Zu beachten ist jedoch, dass dieser Prozess nur über eine ältere Version von Oracle Java in Gang gesetzt werden konnte. Dies bedeutet, dass die eigentliche Schwachstelle zu diesem Zeitpunkt Java war.

Wenn man sich jedoch korrekt verhält und die Aktualität dieser Software nochmals unter den Systemeinstellung prüft oder direkt auf der Webseite von Adobe nachschaut, gibt es diesbezüglich auch keine negativen Folgen.

Java von Oracle war einst ein Einfallstor für einen recht problematischen Schädling, der die Nutzer ausspionierte. Dies hat anschließend gezeigt, wie wichtig es ist, dass eine Software immer auf den aktuellsten Stand sein sollte. Wie der Browser selbst war auch Oracle Java für über 40% der Angriffe interessant. Im Jahr 2013 waren es noch rund 90,5%.

Wir jede Software auf dem Mac automatisch in einer Sandbox betrieben?
Nein, es wird zwar häufig behauptet, ist jedoch absolut falsch. Es werden lediglich Programme in einer virtuellen Umgebung betriebt die dies unterstützen und zugleich einen Nutzen davon haben. Man sollte an dieser Stelle auch wissen, dass der Betrieb eines Programms in einer virtuellen Umgebung immer mehr Ressourcen benötigt. Daher ist der Startvorgang in der Regel immer etwas langsamer.

Zum aktuellen Zeitpunkt ist die Sandbox eines der sichersten Konzepte, um eine Software vom Rest des Computer zu trennen. Man sollte dennoch beachten, dass sogar diese Technologie in Zukunft seine Lücken aufweisen wird. Diese Lücken werden sehr wahrscheinlich dann überwiegend von Experten genutzt.

Mobil
Mobile Geräte sind sehr häufig betroffen, da sie Funktechnologien wie Bluetooth und WLAN besitzen. Soweit eine Schwachstelle vorhanden ist, kann ein Schädling bereits beim Vorbeigehen einer Person unbemerkt und vollautomatisch abgelegt werden. Betroffen sind in erster Linie Geräte mit veralteter Software, ausgeschalteter Firewall und Mobiltelefone mit Android als Betriebssystem.

» Avast zuzüglich eine Firewall, Avira, Bitdefender


Ist ein infiziertes System nicht mehr sicher und muss folglich neu aufgesetzt werden?
Dies kann nicht pauschal beantwortet werden. Fakt ist jedoch, dass manche Schädlinge noch weitere nachladen.

Für was werden die Zugriffsrechte benötigt?Diese werden überwiegen für systeminterne Zugriffe benötigt. Somit können auch weniger schädliche Programme auf dem Mac ohne zutun des Nutzers installiert werden und zum Beispiel die Eingabe der Kontodaten abgefragt werden – sprich: Die Eingabe über die Tastatur.

Was macht einen Computer sicher?
Eine der häufigsten Gründe für eine Infektion sind illegal bezogene Programme wie auch Videospiele. Diese sind häufig manipuliert und enthalten alle möglichen Schädlinge.

Die bereits erwähnte Drive-by-Infection stellt ein weiteres Problem dar, weswegen man unseriöse Webseiten meiden sollte. Dazu gehören auch Webadressen in Spam-Mails.

Zu empfehlen ist auch, dass man Java nur aktiviert, wenn man es zum gegenwärtigen Zeitpunkt braucht.

Die Software sollte weitestgehend immer auf dem aktuellsten Stand sein.

Vollständiges Löschen von: Bitdefender Free und Bitdefender aus dem App StoreLöschen kann man es sehr einfach und vollständig mit dem kostenlosen Programm „AppCleaner“. Hierfür muss man das zu löschende Programm lediglich auf das Programmsymbol ziehen. Danach sucht es nach dazugehörigen Daten. Somit muss also nicht extra ein Programm hierfür gekauft werden, wie oft behauptet wird.

Pages, Keynote und viele andere Programme hinterlassen in der Library (Bibliothek) etliche MegaByte und GigaByte an Daten. Somit kann man dieses Problem nicht nur einem Anti-Viren-Programm zuschreiben. Auch ist es üblich, dass gewisse Daten in der Library abgelegt werden. Dementsprechend ist diese Verhalten nicht explizit solchen Programmen zuzuschreiben.

Wer die Programme hingegen bis zum letzten Kilobyte entfernen möchte, kommt um eine Software nicht herum, die bereits bei der Installation den kompletten Verlauf analysiert und welche Dateien bei Aktualisierungen angelegt werden. Unterm Strich hat man beim Mac das selbe Problem wie bei Windows – wenn man eine Deinstalltion durchführt bleiben trotzdem Reste zurück.

[b]Avira – Hinweis[/b]
Seit der Umgestaltung der Software in der Version 3, ist die ständige Aktualisierung der Datenbank etwas nervig. Die Abfrage von neuen Signaturen ist hierbei nicht das Problem, sondern, dass bei jeder Aktualisierung sich ein Fenster öffnet und nach dem herunterladen erst noch 1 Minute oder mehr vergehen, bis diese Änderungen in der Datenbank eingetragen sind. Das Programm ist gegenwärtig also etwas träge.

Avast ist hierbei deutlich besser. Wenn man möchte kann man auch die Hinweise von neuen Aktualisierungen oder Ähnlichem deaktivieren.

Wird der Computer von einem solchen Programm stark ausgebremst?
Nein, in der Regel nicht! Es gibt gegebenenfalls Hersteller die weniger effiziente Technologien einsetzen oder das Programm schlecht programmiert haben. Bei Avast merkt man jedenfalls schon mal nichts – außer, dass es 100 bis 140 MegaByte vom Arbeitsspeicher braucht.

Gegenwärtig besteht ferner ein Bedarf. Der Text selbst dient hingegen nur zur Vermittlung von Grundwissen und hat nichts mit dem Vergleich der Programme zu tun.


Avira, Avast, Sophos und Bitdefender gibt es in einer kostenlosen Version. Letzteres unterstützt gegenwärtig keine permanente Überwachung. ClamXav ist gleichermaßen kostenlos. Jedoch scheint dieses Programm Dateien nur auf Basis von Signaturen zu prüfen – was ein großer Nachteil ist, da heutzutage vermehrt die Analyse der Datei durchgeführt wird, wodurch auch unbekannte Gefahren aufgespürt werden können bevor eine Signatur zur Verfügung steht.

Unterm Strich hat ClamXav zwei Nachteile:
- Eine wenig umfangreiche Datenbank – rund 99,4MB gegenüber 150 bis 250MB
- und keine intelligentes Analyse-System für Dateien

Welche bei AV-Test verwendet wurde ist unbekannt. Mein Vergleich sollte lediglich zeigen, wie groß die Unterschiede bei der Erkennungsrate sind. Hierbei hat sich ganz klar gezeigt, dass moderne Technologien enorm im Vorteil sind. Eset gibt es zwar auch für den Mac, konnte jedoch einige 100 Dateien nicht prüfen, wodurch nur 9 Schädlinge gefunden wurden.

Es ging mir unter anderem auch darum zu prüfen, wie gut ClamXav wirklich ist – denn es wird sehr oft empfohlen. Das Ergebnis war ersichtlich schlechter als ich es mir jemals vorstellen konnte.

Natürlich könnt ihr es so sehen, dass dieser Vergleich unnötig war: Es ändert aber nichts an den Fakten. Eigentlich ist es auch nicht verwunderlich, da Unternehmen von kommerziellen Programmen nun mal einige Millionen Euro in die Entwicklung neuer Technologien stecken. Bei einem OpenSoure-Projekt ist dies nicht möglich.

Hier habe ich eine abweichende Meinung.
Nur der Programmierer der Schadsoftware kenn wirklich alle Funktionen, die er eingebaut hat. Diese von Hand oder einer Software komplett zu entfernen ist deshalb (aus meiner Sicht) nie sicher zu erreichen. Eine Neuinstallation oder das Einspielen des letzten sauberen Backups ist deshalb immer der bessere (weil einzig sichere) Weg.

Ich weiß, das ist mit mehr Arbeit verbunden und auch ich habe an Windowskisten schon Tools zur "Desinfektion" genutzt. Man sollte sich des Risikos aber bewusst sein (es waren nicht meine Windowsrechner und ich habe den Nutzer über das Restrisiko informiert).

Gruß, Stefan Mettenbrink.

Ach so. Na, wenn du das sagst.

Meiner Meinung nach besteht gegenwärtig eben kein Bedarf. Und dem Test traue ich immer noch nicht über den Weg...

Hallo Stefan,

dies ist absolut korrekt, dass es erheblich sicherer ist. Vielleicht habe ich es etwas zu sehr von der technischen Seite erklärt.

Vorsicht ist jedenfalls immer besser als Nachsicht. Denn Schädlinge brauchen nicht unbedingt lange, bis die ersten riskanten Informationen an einen Server gesendet wurden. Sich nachträglich um den Schutz zu kümmern, kann man daher eher als Schadensbegrenzung bezeichnen – soweit einer in der Zwischenzeit entstanden ist.

Fakt ist jedenfalls das schon einige Millionen Daten von Kreditkarten, Bankkonten oder Anderem geklaut wurden. In Firmen und Forschungseinrichtungen ist wiederum der Diebstahl von Technologien interessant. Da der Angriff in diesem Fall sogar gezielt stattfindet, spielt es dann auch keine Rolle, ob es sich um Windows, Linux oder einem Mac handelt.

Es wird auch nichts gegenteiliges behauptet.

Der Test über die allgemeine Erkennungsrate meinerseits ist korrekt. Über den Vergleich von AV-Test werde ich nicht urteilen.

Siehe auch Thread in der Gallerie und meine Ausführungen dort:

MTN Gallerie: "Anti-Viren-Programme für den Mac im Vergleich – zuzüglich Grundwissen"