Antivirus unwichtig geworden

Antivirus Software ist seit dem Windows Defender eh komplett überflüssig geworden. Viele Unternehmen und auch Privatanwender haben das noch nicht verstanden, und wenn man sich so die Regeln für Passwortänderungen anguckt, die auch ein Jahrzehnt nachdem sie als veraltet erklärt wurden immer noch exakt genau so gehandhabt werden, fürchte ich wird das noch eine Weile dauern bis auch die Antivirus-Erkenntnis bei den konservativen Sysadmins ankommt.

Generell ist das Thema Viren für Angreifer deutlich uninteressanter geworden. Gute Viren sind inzwischen so immens schwer zu erstellen, dass der Aufwand in keinem Verhältnis zum Nutzen steht, dazu gibt es fertige Virenkits, mit denen man sich mit 3 Klicks seinen eigenen Virus "von der Stange" bauen kann. Was also primär kursiert sind polymorphe Varianten eben dieser Virus-Kits, die entweder sofort oder nie von Virenscannern gefunden werden, abhängig davon ob man sie in die Wildnis entlässt, oder nur gezielt gegen eine Firma einsetzt.

Da es so einfach ist sich gezielt einen Virus für genau einen Einsatzfall vom Virenkit bauen zu lassen, wird eine Firma praktisch nie einen Virus erkennen können, denn kein Virenscanner kennt die Signaturen. So etwas findet man nur, nachdem der Virus seine Aufgabe erledigt hat. Alles andere erkennt Windows Defender eh, da braucht man keinen zusätzlichen Virenscanner, der am besten noch regelmäßig die Arbeitskraft vernichtet, weil sinnlos die komplette Festplatte zum x-ten mal durchgescannt wird.

Für den etwas versierteren Privatanwender stimmt das bestimmt. Wäre ich allerdings Admin einer IT würde ich jedem HR und Verkaufsmitarbeiter einen starken Virenscanner vorschieben und auch sonst schneidet der Defender in Vergleichstests regelmässig recht schlecht ab, insbesondere wenn es um Ramsonware geht und für mittelständische Unternehmen gibt es auch bessere Managementfunktionen bei anderen Produkten. Zumal Malwareentwickler auch gezielt dafür sorgen, dass der Defender nicht anschlägt. Verseuchte Anhänge sind natürlich nach wie vor an der Tagesordnung und noch lange nicht uninteressant, da es genügend Opfer gibt, die für den Schlüssel nach einer Ramsonwareinfektion viel bezahlen, da kann man dann auch einfach mal ins Blaue eine Massenmail versenden, das erste zahlende Opfer holt die Kosten wieder rein und mehr.

Und nein, moderne AVs erkennen natürlich auch verdächtiges Verhalten, unterbinden dies, lassen es in einer Sandbox laufen etc. Dass alles nur über Signaturen geht, ist ca 2005 so gewesen.

Aber ich selber habe auch kein AV, ich habe auch nicht mit irgendwelchen Dokumenten zu tun, die mir unbekannte Menschen zuschicken und ich bearbeiten muss und mich würde es mehr nerven, dass diese Dinger zu Problemen an meinem System führen.

Bei anderen Anwendern würde ich das allerdings anders gewichten.