Wien. Der Virenscanner gilt als Herzstück der Computerverteidigung. Wer keinen hat, handelt fahrlässig. Das ist die Botschaft der digitalen Sicherheitsindustrie, und sie wird mit drastischen Statistiken untermauert. Alle zehn Sekunden wird angeblich ein privater Computer angegriffen, alle 40 Sekunden ein Unternehmen.

Die Attacken werden einerseits komplexer, raffinierter und vielfältiger, andererseits liefert ein blühender Cybercrime-Untergrund auch zahlreiche Angebote für technisch weniger Versierte mit krimineller Energie. Jedes Jahr purzeln die Rekorde, was Art, Umfang und Menge der Malware-Attacken betrifft.

Nun kommt aber just jene Software ins Gerede, die vor all dem schützen soll. Nicht nur die Qualität der Wächterprogramme wird immer wieder bemängelt. Antivirenprogramme unterlaufen auch längst etablierte Sicherheitsstandards wie etwa "https". Im Browser-Adressfeld taucht dieses ominöse Kürzel auf, sobald die Kommunikation zwischen Anwendern und Webservern verschlüsselt wird. Niemand kann dann die Inhalte mitlesen, die etwa in ein Online-Formular getippt und mit einem Mausklick ins Internet geschickt werden.

Schlampiger Virenschutz

Sicherheitsforscher kritisieren, dass Antiviren-Software zunehmend Dissonanzen in den etablierten Dreiklang aus Vertraulichkeit, Integrität und Authentizität bringt, der mit dieser Form der verschlüsselten Internet-Kommunikation angestrebt wird. Die Schutzprogramme schieben sich im Namen der Sicherheit vorsorglich immer öfter zwischen Anwender und Webserver. Fast alle populären Antivirenprogramme würden damit aber "die Verbindungssicherheit reduzieren", nicht erhöhen. Zu diesem Ergebnis kommt die Studie eines Forschergremiums, beschickt von namhaften amerikanischen Universitäten, der Mozilla-Foundation und Google.

Das 14-seitige Papier übt heftige Kritik an der digitalen Sicherheitsbranche. Einige Antivirenprogramme würden sogar für neue Schwächen sorgen und beispielsweise verhindern, dass Sicherheitszertifikate korrekt identifiziert werden. Die Studie gipfelt in einem Appell an die Antiviren-Industrie, ihre Praktiken auf diesem Feld zu überdenken.

Der Software-Spezialist Robert O’Callahan, ein bekannter Firefox-Entwickler, machte vor kurzem mit der Empfehlung Furore, Antiviren-Software wegen ihrer Fehlerhaftigkeit überhaupt zu deinstallieren. Wenn auch polemische Appelle wie dieser gewagt erscheinen mögen: Offensichtlich leben User und Security-Experten in zwei Welten. In einer von Google veröffentlichten Umfrage, welche Sicherheitsmaßnahmen unverzichtbar wären, rückten normale Anwender den Virenscanner auf Platz 1. Die Fachleute reihten Antiviren-Software unter ferner liefen und hielten sich an altbekannte Mantras der IT-Sicherheit: Software und Betriebssystem auf dem neuesten Stand halten, robuste Passwörter verwenden, regelmäßig Datensicherungen ausführen.

Ein Standard gegen Malware

"Wir hören öfter, dass der Antiviren-Client angeblich tot ist", sagt der Vertriebsleiter des österreichischen Sicherheits-Softwareherstellers Ikarus, Christian Fritz. Allerdings würde es keine halbe Stunde dauern, bis ein PC oder Laptop unter der Last der digitalen Schädlinge zusammenbrechen würde, wäre seine Netzverbindung ungeschützt. IP-Adressen werden regelmäßig gescannt, die Attacken automatisiert durchgeführt. "Antiviren-Software sorgt dafür, dass die Standard-Malware geblockt wird."

Anders liegt der Fall bei zielgerichteten Angriffen. Bei komplexen Attacken "genügt der Standardschutz nicht mehr", räumt Fritz ein. Und verweist darauf, dass die Debatte über Antiviren-Software noch einen wichtigen Punkt ausklammert: In den USA würde etwa der Patriot Act die Hersteller von Sicherheits-Software verpflichten, für die Geheimdienste Hintertüren offen zu halten. Als Ikarus über einen Telekom-Provider einen Fuß in den russischen Markt setzen wollte, begehrte der russische Geheimdienst FSB Einsicht in den Quellcode. Darauf ließ sich die Firma aber nicht ein und verzichtete zugunsten der Glaubwürdigkeit auf ein verlockendes Geschäft. "Es gibt nur eine Handvoll Antiviren-Softwarehersteller, die sich nicht gegenüber Geheimdiensten öffnen", sagt Fritz.

Auch wenn der Virenscanner nach wie vor ein Stück Sicherheit in einer unsicheren digitalen Umwelt gewährleistet, ein Universaltool gegen Schadensfälle ist er offensichtlich nicht. Der jüngste Trend in der Computersicherheit heißt folgerichtig Schadensbegrenzung.