Über die Funktion von Anti-Malware-Programmen und Firewall besteht oft Unsicherheit.
Das liegt aber oft nur daran, dass es "viel zu technisch" ist und deshalb nicht gut nachvollzogen werden kann.
Wir erklären die Aufgaben dieser Schutzprogramme, einfach mal anhand von Beispielen aus dem normalen Leben.
Antivirenprogramm (Scanner) mit vorgeschaltetem Echtzeitscanner (Guard/Shield)
Das Programm besteht eigentlich aus 2 verschiedenen Instanzen: Zuerst kommt der Guard und dann der Scanner.
Stellt euch einmal eine öffentliche Veranstaltung vor oder ein Szenelokal, bei dem Wachschutzleute (Security) eingesetzt wird.
Da haben wir zuerst einmal den "Türsteher" --> das ist der "Shield" das Antivirenprogramms
Er überprüft anhand einer Gästeliste , wer überhaupt rein dürfen soll.
Oder er hat eine "Blacklist" vorliegen, von Personen, die auf keinen Fall herein dürfen sollen.
Die dritte Sortiermöglichkeit für den Türsteher ist, dass er aus eigenen Erfahrungswerten und Kriterien, einschätzt, ob weine gewisse Gruppe an Gästen Ärger machen könnte.
Die "Gästeliste" ist die "Whitelist" des Computersystems.
Die "Blacklist" ist die Virendefinitionsdatei des Antivirenprogramms
Die "Erfahrungswerte" ist die Heuristik des Antivirenprogramms
Wenn jetzt Einer ankommt, der nicht rein soll, wird er festgehalten und ihm wird der Zutritt verwehrt.
Der Türsteher arbeitet aber mit dem "Rauswerfer" zusammen
Der "Rauswerfer" --> Das ist dann der "Scanner" des Antivirenprogramms
Die Aufgabe des Rauswerfers ist, dass er regelmäßig durch die Räume geht, um nachzusehen, ob "da einer Ärger macht" oder ob der Türsteher einen Gast falsch eingeschätzt hat.
Er hat die gleichen Listen vorliegen wie der Türsteher, lässt sich aber Zeit, jeden Gast wirklich einzeln zu überprüfen.
Der Türsteher schaut nur kurz hin ... der Rauswerfer macht aber bei jedem Gast eine "Leibesvisitation".
Er ist deshalb langsamer, aber viel gründlicher.
Hat der Rauswerfer einen "Unruhestifter" entdeckt, wirft er ihn eben raus (löscht ihn) oder steckt ihn in eine Zelle (Quarantäne) in der er keinen Schaden anrichten kann.
Wenn der Türsteher jetzt den Verdacht hat, dass ein Gast "etwas Schlimmes vorhat", hält er ihn fest und ruft den Rauswerfer, damit dieser ihn genauer untersucht.. während der Türsteher seinen Job weiter machen kann.
Das ist dann eine Warnmeldung des Shield an den Computerbenutzer. Ein festgehaltener Virus wird dann direkt "vor dem Eindringen" entfernt.
........
Wer den Türsteher entlässt ( = den Shield abschaltet), sorgt damit dafür, dass jeder rein kann und sein Unwesen treiben kann. Der Computer wird infiziert. Die "Rowdies" können dann so lange Unruhe stiften, bis der Rauswerfer ( = der regelmäßige Scan ) sie endlich entdeckt hat. Der Schaden, den der Rowdie angerichtet hat, kann oft aber nicht mehr repariert werden.
Gleichzeitig besteht die Gefahr, dass der Rowdie den Rauswerfer "bestochen" hat.
"Komm, ich gebe dir xxxxx. Dafür wirfst du mich nicht raus"
Ab jetzt ignoriert er alles, was der Rowdie macht.
Solche Kumpeleien gibt es auch bei Antivirenprogrammen. Sobald ein Rechner befallen (kompromittiert) ist, kann es durchaus sein, dass das Antivirenprogramm diesen Virus nicht mehr erkennt.
Die andere Variante ist, dass der Rowdie den Rauswerfer und den Türsteher bedroht.
"Wenn du deinen Job weiterhin machst, töte ich dich"
Dann sind zwar Türsteher und Rauswerfer noch sichtbar. Sie machen ihren Job aber nicht mehr, sondern schauen einfach weg. Will man sie dann ganz gezielt rufen ... sind sie plötzlich nicht mehr da.
So muss man es sich vorstellen, wenn das Antivirenprogramm selbst schon übernommen/infiziert wurde. Es ist zwar weiterhin vorhanden, lässt sich aber nicht mehr starten und hat auch sonst jegliche Schutzmaßnahme eingestellt.
Wenn dein Wachschutz nicht mehr arbeitet, ist er sinnlos geworden.
Die dritte Variante ist, dass die Rowdies die Macht übernommen haben.
Die Leute von deinem Wachschutz wissen das und wollen sich nicht mehr anheuern lassen oder flüchten direkt nachdem sie eingestellt wurden.
Das gleiche Antivirenprogramm lässt sich nicht mehr installieren oder verabschiedet sich direkt nachdem es installiert wurde.
Auch andere Schutzprogramme lassen sich oft nicht mehr installieren.
Jetzt brauchst du einen "Polizei-Trupp", der die ganze Lokalität schließt und "ausräuchert".
Dabei gibt es auch unschuldige Opfer, die sicherheitshalber rausgeworfen werden, damit keine Gefahr mehr besteht.
Du setzt also einen Live-Scan (von CD oder über das Internet) ein.
Kann der Polizei-Trupp seinen Job nicht machen, musst du das ganze Lokal abreißen und neu aufbauen = die musst den Rechner komplett neu installieren.
Du verstehst jetzt hoffentlich, wie wichtig es ist, dass du sowohl einen Wachschutz einsetzt als auch, dass du diesen Leuten immer die neuesten Listen an die Hand gibst, damit sie Rowdies schon erkennen können, bevor sie im Lokal drin sind ?
Du musst dein Antivirenprogramm immer aktuell halten, damit die Rowdies nicht die Macht übernehmen können
Die Firewall
Das Tür-Zugangssystem am Personal-Eingang
Es ist ein "Nebeneingang für vertrauenswürdiges Personal"
Hier werden nur Service-Firmen kontrolliert, die in einem Gebäude arbeiten sollen. Reinigungskräfte, Elektriker, Hausmeister usw.
Sie kommen als Servicekräfte direkt an den Türstehern vorbei. Er verhindert also nicht deren Zugang.
Bevor jedoch eine Servicekraft reinkommen darf, muss erst einmal sicher gestellt werden, dass man diesen Service überhaupt benötigt. Eine Liste wird erstellt, die nicht benötigte Servicefirmen enthält.
Alle, die nicht auf der Liste stehen, bekommen einen Zutrittsausweis.
Aber .... der Ausweis wird auch benötigt, um wieder hinaus zu kommen. Wer es ohne Ausweis versucht, wird gemeldet.
Bevor er dann wieder heraus darf, muss er auch eine Prüfung durchlaufen.
Wenn ein solches Tür-System installiert wird, gibt es aber zwei verschiedene Arten wie man vorgeht:
1) Alle Firmenangehörigen bekommen automatisch einen Ausweis ausgestellt. Sie werden nicht geprüft.
2 ) Bevor Jemand hinein oder heraus darf, wird er einzeln geprüft und bekommt jeweils danach dann einen Ausweis
Das Problem bei der Möglichkeit 1) ist, dass automatisch davon ausgegangen wird, dass jeder im Gebäude auch einen Service/Dienst leisten soll.
Da hast du dann einen Hausmeister dabei .. der einfach vor der Installation des Türsystems hinein gekommen war. Er wollte sich eigentlich nur für diesen Service bewerben .. bekommt jetzt aber pauschal seinen Ausweis und kann dann alles machen, was eben ein Hausmeister machen kann. Er kann immer wieder hinein oder heraus. Er wird weder geprüft, noch kontrolliert man was er macht.
Bei Möglichkeit 2) wird geprüft, was die Person machen kann und ob man das auch will.
Das Türsystem hat aber einen kleinen Haken
Wer durch den Gast-Eingang (an den Türstehern vorbei) kommt, danach dann einen Werkzeugkasten auspackt und anfängt "herumzuwerkeln", der kommt nur eben nicht mehr hinaus.
Er kann Schaden jeder Art anrichten. Er wird erst entdeckt, wenn er versucht, den Lieferanteneingang zu öffnen, um andere Unberechtigte dort einzulassen.
Dann wird es Zeit, dass sich die "Rauswerfer vom Wachschutz" mal diese Person "unter die Lupe nehmen" .. wieso er da ist und was er da macht.
-------------------------------------------------------------
Ihr seht also:
Wenn ihr den Personaleingang nicht durch ein Zutrittssystem absichert, kann dort jeder rein, der sich als "übliches Servicepersonal" bezeichnet. Der Wachschutz beachtet sie nicht.
Habt ihr aber den Personaleingang abgesichert, braucht ihr auch einen Wachschutz, der am Haupteingang überprüft wer rein darf und eventuell auch die rauswerfen, die sich erst später als "Servicepersonal" ausweisen wollen.
Was habe ich jetzt eigentlich beschrieben ?
Ich habe beschrieben, wie ein Trojaner arbeitet.
Ein Trojaner ist ein Programm, das sich als "harmloser Gast" Zutritt verschafft. Danach packt er seinen versteckten Werkzeugkasten aus und beginnt mit seiner Arbeit.
Gleichzeitig versucht er aber auch, weitere Handwerker reinzulassen.
Ein Trojaner kann durch das Türsystem nicht mehr an seinem Tun gehindert werden. Das Türsystem schließt ihn nur ein.
Die Firewall ist daher kein System, mit dem man Schaden abwehren kann, wenn der Unberechtigte schon eingedrungen ist.Es kann nur zulassen oder sperren. Es ist nur ein Sicherheitssystem für die "Service-Eingänge" des Computers
FAZIT
Einen (besser) gesicherten Computer erhältst du erst, wenn du sowohl Firewall als auch Antivirenprogramm einsetzt.
Nur dadurch werden sowohl Haupteingang als auch Service-Eingang überwacht.
Benutzt man nur ein Schutzsystem, bleibt immer noch der andere Eingang unkontrolliert.
Ich habe den Schutz der Firewall mit dem Türzugangssystem eines Personaleinganges verglichen, weil es dem, was im Computer stattfindet, am Nächsten kommt.
Der Computer hat immer automatische Dienste (Services) die immer mal wieder Kontakt ins Internet herstellen müssen.
Er hat aber auch Services, die man eigentlich nicht benötigt. Es ist also wichtig, dass man es nicht schon bei der Installation einer Firewall "zu einfach" macht. Nur das was man braucht, lässt man zu.
Durch die "Service-Eingänge" des Computers kommen aber auch neue Dienste herein, wenn man sie nicht daran hindert.
Das können Hacker sein oder einfach "Trackings", die versuchen wollen, irgendwas im Computer abzulegen oder auszulesen.
Ich sehe es tagtäglich, dass zum Beispiel Warnungen aufflackern, sobald bestimmte Werbung angezeigt wird.
Dann erhält man aber nur eine allgemeine Information dass irgendein Dienst "von außen" und von einer IP ausgeführt werden soll.
Da ich aber ganz genau weiß, dass sich keinen "Dienst von außen" brauche, kann ich ihm den Zugriff (einzeln) verweigern.
Dabei muss ich auch nicht wissen, wer das ist.. sondern nur, dass ich keinen Dienst "angefordert" habe.
"Ich habe keinen Hausmeister angefordert. Du kommst nicht rein"
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Es gibt eine Möglichkeit, die sowohl Antivirenprogramm als auch Firewall unnötig macht.
In diesem Fall verzichtet man auf Wachschutz und Türsystem.
Man schließt dabei einfach alles ab, was geändert werden könnte.
Dann hat man sein Personal faktisch in den einzelnen Serviceräumen eingeschlossen und nur sie können dort ihrer Arbeit nachgehen.
Wo keiner mehr rein oder raus kommt, kann auch nichts mehr passieren, was ich nicht vorher "befohlen" habe.
Bei Menschen macht man so etwas nicht. Ein Computer ist aber kein Mensch und deshalb muss man auch in Punkto Computer "jede Menschlichkeit vergessen". Ein Computer ist eine Maschine. Der Benutzer ist der "Herr über die Maschine" und gibt Befehle, die genau so befolgt werden, wie er sie gibt. Maschinen "diskutieren nicht", sondern befolgen Befehle .. auch wenn sie falsch sind.
Wen die technische Ausführung interessiert, wie man einen Computer auf diese Art sicher macht, kann es unter http://www.cwcity.de/community…r-Software-schuetzen.html nachlesen.
Das System hat nur einen einzigen Nachteil:
Man muss neue Software und Dienste immer erst gesondert zulassen bzw. integrieren.
Man muss also immer erst einen neuen Service-Raum bauen, ihn verriegeln, Leute reinstecken und dann den Befehl geben "Jetzt dürft ihr beginnen"
Es ist also nichts für Computerbenutzer, die sehr viel installieren oder ausprobieren. Es ist eher für die Benutzer gedacht, die ganz genau wissen, was sie brauchen und es auch nicht immer schnell ändern wollen = für erfahrene Benutzer, die nur ganz bestimmte Software benötigen.