[Lerran]

Hallo zusammen,

ich habe eine weiterführende Frage zum Thema Smartphone Sicherheit, welche foobar schon mal super erklärt hat.


Ich habe nämlich heute durch Zufall meinen Kollegen bei "erwischt" wie er auf seinem Android-Smartphone mit einer Antivirensoftware auf Viren gescannt hat und gemeint hat, dass es - Zitat - da draußen doch "bestimmt" viele Viren gäbe weil es diese ja für Windows auch gibt.

Ich habe mir da ehrlich gesagt zuvor nie wirklich Gedanken drüber gemacht – außer eben die Standards eingehalten mit Updates installieren und keine seltsamen Apps aus dem Play-Store oder anderen Quellen heruntergeladen/installiert.

Wie ist denn da eure Einschätzung zu? Kann sich ein Virenscanner unter Android lohnen oder ist die Android-Welt "sauberer" oder "sicherer" als die Windows-Welt?

Einen integrierten wie bei Windows gibt es ja nicht (jedenfalls nicht bei meinem Nokia).

Vielen Dank für eure Tipps!

[foobar]

Wie ist denn da eure Einschätzung zu? Kann sich ein Virenscanner unter Android lohnen oder ist die Android-Welt "sauberer" oder "sicherer" als die Windows-Welt?

Es gibt Schadsoftware für Android, ja. Einen extra Scanner braucht man aber IMHO nicht. Schon unter Windows ist die Idee, dass man zwingend einen Virenschutz bräuchte, nicht unumstritten. Unter Android gilt das noch mehr.

Wenn man regelmäßig Apps aus anderen Quellen als F-Droid oder dem Play Store installiert, dann kann ein Virenscanner als „zweite Meinung” vielleicht sinnvoll sein, aber allgemein sehe ich keinen großen Bedarf.

Egal, welches OS: Wenn man meint, eine Software auf Viren scannen zu müssen, ist das eigentlich bereits ein Zeichen, dass man ihr nicht vertraut und sie deshalb gar nicht erst installieren sollte.

Einen integrierten wie bei Windows gibt es ja nicht (jedenfalls nicht bei meinem Nokia).

Vermutlich doch. Wenn du den Play Store hast, dann ist da Google Play Protect mit dabei, welches jede App vor der Installation auf Sicherheitsbedrohungen prüft.

[Lerran]

Dachte ich mir schon fast, danke für deine Einschätzung.
Mal eine allgemeine Frage bzw. so würde ich mir das vorstellen. Angenommen es gibt eine Sicherheitslücke und der Hersteller hat einen Patch herausgegeben. Diesen Patch habe ich aber nun installiert und ist somit geschlossen.
Dann kann doch eine Malware (die genau auf diese Sicherheitslücke aus ist) in diesem Fall gar nichts mehr "machen", sprich die kann ihre böse Aktion dann gar nicht mehr ausführen, richtig?

Schon unter Windows ist die Idee, dass man zwingend einen Virenschutz bräuchte, nicht unumstritten.

Ah ok, das finde ich interessant. Kenne nämlich auch nur die Aussage "Unter Windows sollte man einen Virenschutz haben".
Wie kam das jetzt auf? Allgemein oder weil es jetzt den Defender gibt?

Vermutlich doch. Wenn du den Play Store hast, dann ist da Google Play Protect mit dabei, welches jede App vor der Installation auf Sicherheitsbedrohungen prüft.

Ah stimmt, den gibts ja auch noch

[foobar]

Mal eine allgemeine Frage bzw. so würde ich mir das vorstellen. Angenommen es gibt eine Sicherheitslücke und der Hersteller hat einen Patch herausgegeben. Diesen Patch habe ich aber nun installiert und ist somit geschlossen.
Dann kann doch eine Malware (die genau auf diese Sicherheitslücke aus ist) in diesem Fall gar nichts mehr "machen", sprich die kann ihre böse Aktion dann gar nicht mehr ausführen, richtig?

Richtig. Natürlich kann der Hersteller einen Fehler beim Patch gemacht haben und so, aber im Grunde ist man dann immun. Das ist ja der Grund, warum man die Updates immer machen sollte.

Ah ok, das finde ich interessant. Kenne nämlich auch nur die Aussage "Unter Windows sollte man einen Virenschutz haben".
Wie kam das jetzt auf? Allgemein oder weil es jetzt den Defender gibt?

Einmal allgemein, siehe auch diesen Post (sowie diesen). Und dann ist Defender in der Tat für praktische alle Zwecke, wo man evtl. einen Scanner als nutzbringend einstufen könnte, ausreichend.

[Lookbehind]

Zum näheren Verständniss der Frage woher der generelle Rat zu einem Virenscanner kommt, empfehle ich außerdem noch die Lektüre von folgendem foobar-Post: https://forum.worldofplayers.de/foru...4#post24770244

[Homerclon]

Vermutlich doch. Wenn du den Play Store hast, dann ist da Google Play Protect mit dabei, welches jede App vor der Installation auf Sicherheitsbedrohungen prüft.

Play Protect ist allerdings sehr schlecht. av-test.org hat Virenschutz-Apps für Android geprüft - zuletzt im März -, und da ist Google Play Protect bei der Schutzwirkung durchgefallen (0 von 6 Punkte).


Nebenbei:
Der in Windows 10 integrierte Virenschutz Microsoft Defender ist deutlich effektiver. Sogar so gut, das man wirklich kein andere Antiviren-Software mehr braucht - eigentlich nur wenn man bestimmte Features haben will, die der Defener nicht bietet.

[foobar]

Gegen AV-Test ist auch bereits Kritik vorgebracht worden. Ich will da selbst keine Position beziehen, sondern nur darauf hinweisen, dass die nicht unumstritten sind. Vor einiger Zeit hat Eugene Kaspersky (der selbst natürlich auch kein neutraler Beobachter ist) z.B. die gelockerten Zertifizierungsregeln kritisiert. Oft wird auch der grundsätzliche Ansatz bemängelt, dass die Hersteller AV-Test für das Testen ihrer Produkte bezahlen. Das schaffe einen Anreiz für positive Bewertungen der Kundschaft, die für Zertifikate Geld springen lassen, und sei nicht vergleichbar mit objektiven Tests, bei welchen anonym eingekauft und ohne Wissen des Herstellers getestet und verglichen wird.

[Lerran]

Vielen Dank für die guten Beiträge

Richtig. Natürlich kann der Hersteller einen Fehler beim Patch gemacht haben und so, aber im Grunde ist man dann immun. Das ist ja der Grund, warum man die Updates immer machen sollte.

Benötigt eine Malware eigentlich immer eine Sicherheitslücke oder funktionieren die auch ohne?

Zum näheren Verständniss der Frage woher der generelle Rat zu einem Virenscanner kommt, empfehle ich außerdem noch die Lektüre von folgendem foobar-Post: https://forum.worldofplayers.de/foru...4#post24770244

Das ist echt eine interessante Anekdote. Ich glaube das wissen viele nicht wie das damals entstanden ist mit "Windows und Internet".
foobar schreibt, dass Linux-Viren auf Linux-Server zugeschnitten sind. Wie muss man sich das vorstellen in der Praxis, haben die Server-Anbieter dann trotzdem große Sicherheitssuiten für Linux und sind die dann mehr dafür da um nach Windows-Viren zu suchen (sprich um kein Viren-Spreader zu sein)?

Play Protect ist allerdings sehr schlecht. av-test.org hat Virenschutz-Apps für Android geprüft - zuletzt im März -, und da ist Google Play Protect bei der Schutzwirkung durchgefallen (0 von 6 Punkte).

Gegen AV-Test ist auch bereits Kritik vorgebracht worden. Ich will da selbst keine Position beziehen, sondern nur darauf hinweisen, dass die nicht unumstritten sind. Vor einiger Zeit hat Eugene Kaspersky (der selbst natürlich auch kein neutraler Beobachter ist) z.B. die gelockerten Zertifizierungsregeln kritisiert. Oft wird auch der grundsätzliche Ansatz bemängelt, dass die Hersteller AV-Test für das Testen ihrer Produkte bezahlen. Das schaffe einen Anreiz für positive Bewertungen der Kundschaft, die für Zertifikate Geld springen lassen, und sei nicht vergleichbar mit objektiven Tests, bei welchen anonym eingekauft und ohne Wissen des Herstellers getestet und verglichen wird.

Hm, auch interessant. Hört sich so nach dem Motto "Wer mehr zahlt, ist sicherer" an.
Gibt es denn überhaupt wirklich unabhängige Tests?

[foobar]

Benötigt eine Malware eigentlich immer eine Sicherheitslücke oder funktionieren die auch ohne?

In gewisser Weise ja, allerdings kann die Sicherheitslücke auch vor’m Rechner sitzen.

foobar schreibt, dass Linux-Viren auf Linux-Server zugeschnitten sind. Wie muss man sich das vorstellen in der Praxis, haben die Server-Anbieter dann trotzdem große Sicherheitssuiten für Linux und sind die dann mehr dafür da um nach Windows-Viren zu suchen (sprich um kein Viren-Spreader zu sein)?

Die meisten sind Würmer, die sich über im Internet angebotene Dienste verbreiten. Dagegen schützt man sich am besten, indem man keine verwundbare Software laufen lässt und die Dienste isoliert.

Es gibt Antivirensoftware für Linux, ja. Aber nicht so viele wie für Windows und ich bin mir auch nicht sicher, wie oft die genutzt werden. Am ehesten kommt sie wohl noch zum Einsatz, um von Usern hoch- und runtergeladene Inhalte auf Windows-Schädlinge zu prüfen. Nicht, um die Linux-Server zu schützen, sondern um nicht selbst bei der Verbreitung der Windows-Viren mit zu helfen (quasi als Typhoid-Mary agieren – selbst immun sein, aber Viren verbreiten).

Hm, auch interessant. Hört sich so nach dem Motto "Wer mehr zahlt, ist sicherer" an.
Gibt es denn überhaupt wirklich unabhängige Tests?

Irgendwo lässt sich immer Rauschen oder Bias finden, aber man kann es minimieren. Ein Ansatz ist die wissenschaftliche Methode.

[Lookbehind]

...

Benötigt eine Malware eigentlich immer eine Sicherheitslücke oder funktionieren die auch ohne?

...

Es reicht auch, wenn die Sicherheitslücke vor dem Bildschirm sitzt.

...

foobar schreibt, dass Linux-Viren auf Linux-Server zugeschnitten sind. Wie muss man sich das vorstellen in der Praxis, haben die Server-Anbieter dann trotzdem große Sicherheitssuiten für Linux und sind die dann mehr dafür da um nach Windows-Viren zu suchen (sprich um kein Viren-Spreader zu sein)?

...

Well, wie so oft lautet die Antwort hier: Kommt drauf an ™

Zunächst mal gibt es nicht "Den Linux-Server". Das Betriebssystem ist vielseitig, extrem vielseitig! Entsprechend verschieden sind die Server die damit betrieben werden.

Die allermeisten dürften gar keinen Virenscanner haben. Und wenn doch, dann sind das meistens Mailserver die verhindern wollen, dass sich Windows-Vieren unnötzg ausbreiten. Die meisten Viren die es direkt für Linux gibt, sind meistens sehr speziell auf einen bestimmten Anwendungsfall zugeschnitten und nicht für Masseninfektionen gedacht. Das ist schon ein gezielteres Vorgehen der bösen Jungs. Jedenfalls wenn wir von klassischer Schadware ausgehen.

Die größere Gefahr für Server-Systeme sind tatsächlich Sicherheitslücken die sich direkt ausnutzen lassen, Konfigurations-Fehler des Admins oder schlicht schlechte Passwörter. Damit wird sich dann Zugriff verschafft und ... was auch immer getan. Über die Motivation der bösen Jungs kann man wieder eigene Artikel schreiben.

Die "großen Sicherheitssuiten" für Linux sind dann eher ausgefeilte Monitoring-Systeme bis hin zu Intrusion-Detection-Systemen, die Alarm schlagen sollen, wenn doch mal was passiert. In dem Bereich gibt es viel, aber da wirds auch schnell kompliziert, wenn man in der Welt nicht schon drin steckt. Das hat aber wenig mit den klassischen Virenscanner-Systemen auf Heimcomputern zu tun.

...

Hm, auch interessant. Hört sich so nach dem Motto "Wer mehr zahlt, ist sicherer" an.

Eher "Wer mehr Zahlt wird besser dargestellt", denn deine Aussage kann man auch so interpretieren, dass die teurere Schachtel die bessere ist. Wenn du mich fragst, kannst du das Schlangenöl getrost im Regal stehen lassen. Sicherheit ist ein Prozess und kein Zustand, das bedeutet auch, dass man die nicht in Schachteln kaufen kann.

Gibt es denn überhaupt wirklich unabhängige Tests?

Das ist schwer zu sagen, weil echte Unabhängigkeit schwer zu beweisen ist.

[Lerran]

Vielen Dank an euch beiden!

Dann kann man im Grunde doch sagen, dass man auf dem richtigen Weg ist, wenn man sein Betriebssystem auf dem neuesten Stand hält, seine Software updatet, keine unseriöse Software herunterlädt und wachsam ist.

[foobar]

Dann kann man im Grunde doch sagen, dass man auf dem richtigen Weg ist, wenn man sein Betriebssystem auf dem neuesten Stand hält, seine Software updatet, keine unseriöse Software herunterlädt und wachsam ist.

Korrekt.

[Lerran]

Korrekt.

Dann mach ich da ja schon mal nichts falsch

Was mir letztens noch eingefallen ist. War das nicht damals bei WannaCry so, dass nur gepatchte Systeme "immun" waren und bei ungepatchten Systemen die Antivirensoftware auch nicht mehr helfen konnte?

[Lookbehind]

Dann mach ich da ja schon mal nichts falsch

Was mir letztens noch eingefallen ist. War das nicht damals bei WannaCry so, dass nur gepatchte Systeme "immun" waren und bei ungepatchten Systemen die Antivirensoftware auch nicht mehr helfen konnte?

"War" ist da das falsche Wort. WannaCry ist immer noch ein massives Problem, weil es immer noch haufenweise ungepatchte Systeme gibt.
Und letztlich ist WannaCry da leider auch nur ein Beispiel unter vielen.

[Lerran]

"War" ist da das falsche Wort. WannaCry ist immer noch ein massives Problem, weil es immer noch haufenweise ungepatchte Systeme gibt.
Und letztlich ist WannaCry da leider auch nur ein Beispiel unter vielen.

Oha, echt noch so viele ungepatchte Systeme? Den gibts doch jetzt auch schon ein paar Jahre

[foobar]

Oha, echt noch so viele ungepatchte Systeme? Den gibts doch jetzt auch schon ein paar Jahre

Gibt halt viele Leute, die Windows Update partout abschalten wollen, siehe bspw. diesen Thread. Teilweise nachvollziehbar, wenn man sich die mehr oder weniger regelmäßigen Debakel anschaut, die Microsoft bei den Updates so hinlegt. Aber die Alternative, dann gleich auf alle Updates zu verzichten, ist natürlich auch keine Lösung.

Besonders problematisch ist das tolle neue Internet of Things, bei dem irgendwelche Gadgets im Internet hängen, ohne dass die Designer wirklich Erfahrung oder die nötigen Prozesse hätten. Unsichere Industrie- und Heizungsanlagen findet man bspw. zuhauf im Netz, weil da einfach kein Bewusstsein vorhanden ist. Die stecken noch in der selben Denke wie vor Jahrzehnten MS beim IBM-PC.

Und natürlich passieren auch einfach Fehler. Als die Autovermietung Buchbinder bspw. ihre gesamte Kundendatenbank ins Internet stellte (inkl. personenbezogener Daten, Unfallberichte, Anwaltsschreiben, etc.), da geschah das, weil irgendjemand eine von außen erreichbare, nicht mal mit einem Login geschützte Dateifreigabe auf dem Backup-Server eingerichtet hatte.

Auch eine Arztpraxis aus Celle hatte 30.000 Patientendaten veröffentlicht, weil sie auch ihren Server nicht geschützt hatte. Außerdem haben sie den Fehler gemacht, einen Telekom-Router (die „Digitalisierungsbox” für Businesskunden) einzusetzen. Der hatte eigentlich nur eine Weiterleitung für HTTPS (TCP-Port 443) machen sollte, entschied sich dann aber eigenmächtig, den gesamten Portbereich 440-449 freizugeben – darunter dann eben auch SMB (Port 445). Von der c't darauf angesprochen, antwortete ein Terrorkom-Sprecher: „[...] diese Schwäche beim Port-Forwarding [sei] seit Mai 2019 bekannt” und „Wenn Sie mich fragen, warum es von Mai bis heute gedauert hat, einen solchen Patch anzubieten, so kann ich Ihnen darauf keine Antwort geben. Das ist eindeutig ein Fehler von uns, hier hätten wir schneller gemeinsam mit dem Hersteller Bintec Elmeg agieren müssen.”

Das zeigt u.a. auch, dass es gefährlich ist, sich auf ein einzelnes Element zu verlassen. Der Router wird die Ports schon blockieren, also brauchen wir nicht mehr zu machen. Der Virenscanner wird die Schädlinge schon finden, also ist alles in Ordnung. Und so weiter. Idealerweise gestaltet man Sicherheit mehrstufig, so dass die Systeme selbst dann noch geschützt sind, wenn eine Komponente versagt. Ist natürlich nicht immer trivial.

[Lerran]

Hm, ja das stimmt, die Windows-Updates sind manchmal "spannend"
Dann war/ist meine Intuition doch richtig, dass ich bei diesen ganzen IoT-Geräten bisschen vorsichtig bin bzw. (noch) nicht so wirklich traue

Aber was ich jetzt so herausgelesen habe - Linux scheint ja weniger Neustarten zu wollen? An was liegt das denn, dass Windows immer so oft Neustarten will? Schlechterer Kernel oder sowas?

[foobar]

Aber was ich jetzt so herausgelesen habe - Linux scheint ja weniger Neustarten zu wollen? An was liegt das denn, dass Windows immer so oft Neustarten will? Schlechterer Kernel oder sowas?

Hauptsächlich am Design, würde ich sagen. Unix/Linux ist halt von Anfang an für Serverbetrieb im Netz ausgelegt gewesen und kein Serverbetreiber will Ausfallzeiten für Reboots haben. Da spielen viele Faktoren mit hinein.

Nehmen wir als Beispiel einfach mal das VFS (Virtual File System). Es abstrahiert den Zugriff auf Dateien unter Linux. Dateien sind einfach nur Ansammlungen von Blöcken, welche eine eindeutige Nummer tragen und auf die über sogenannte Links verwiesen wird. Selbst der Dateiname im Verzeichnis ist beispielsweise nur ein Link auf die Datei. Hardlinks sind einfach weitere Links auf die selbe Datei. Wenn die Namen „foo” und „bar” auf die selbe Datei Nr. 4711 verweisen (was problemlos möglich ist), ist es dem Linux egal, unter welchem Namen du sie ansprichst. Du kriegst immer die selbe Datei 4711. Wenn du dann „bar” löschst, wird nur der Link aus dem Verzeichnis entfernt. Der andere Link („foo”) bleibt und darüber kann die Datei nach wie vor angesprochen werden.

Auch jeder Descriptor (aka Handle, hatten wir ja nebenan schon) auf eine Datei ist nur ein Link auf die Datei. Das bedeutet, wenn Programm X die Datei „foo” öffnet, erhält es nur einen Link auf die 4711. Der Name spielt, wenn die Datei erstmal offen ist, keine Rolle mehr. Ich kann also nun hergehen und die Datei „foo” aus dem Verzeichnis einfach rauslöschen. Ohne, dass sich irgendwer beschwert oder Programm X auf die Fresse fliegt. Es greift ja über seinen eigenen Link zu und braucht den Namen nicht mehr. Tatsächlich habe ich also nun eine Datei im System, die nirgendwo mehr mit Namen eingetragen ist und nur noch dem Programm X bekannt ist. Das ist aber kein Problem, denn Linux merkt sich, welche Links es ausgegeben hat und wenn der Linkzähler auf 0 geht (also niemand mehr einen Verweis auf die 4711 hat), dann gilt der Speicherplatz der Datei als freigegeben und kann neu verwendet werden.

Dadurch kann ich z.B. bei Linux im laufenden Betrieb Dateien austauschen, selbst wenn diese von irgendwelchen gerade laufenden Diensten gebraucht werden. Unter Windows kommt dann eine Fehlermeldung, dass die Datei gerade benutzt wird und deshalb nicht gelöscht werden kann. Einer der Gründe, warum man unter Windows öfter neustarten muss. Unter Linux ersetze ich hingegen jede Menge Dateien und die Dienste laufen einfach mit den alten Kopien weiter. Und dann startet man (bzw. die Paketverwaltung) den Dienst einmal neu, damit er nun die neuen Dateien öffnet und benutzt.

Ignoriert man die Hardware (z.B. Festplattenwechsel), dann muss man ein Linux-System defakto nur dann neustarten, wenn ein neuer Kernel eingespielt wurde (auf Geschichten wie kexec gehe ich hier mal nicht weiter ein).

[Lerran]

Ah, vielen Dank für die tolle Erklärung
Ihr macht mir Linux immer interessanter ^^

Du noch kurz was anderes zum Thema Neustart bei Windows. Wenn man mehrere Treiber installiert (z. B. beim Grafikkarten-Treiber oder Sound-Treiber - beide möchten bei mir immer einen Neustart), muss man nach jedem einzelnen Treiber neustarten oder genügt es wenn ich den Neustart verschiebe und erstmal alle Treiber installiere und dann für alle quasi einmal neu starte?

[foobar]

Normalerweise reicht ein Neustart.