expertenaustausch > comp.* > comp.security.misc

Peter Faust (01.01.1970, 01:00)
Thomas Wildgruber schrieb:

>On Mon, 16 Apr 2018 10:07:53 +0200, Chr. Maercker wrote:
>Wozu? Nach dem ganzen Gefasel hier scheint es keinerlei Probleme mit Viren
>auf Windows zu geben und in jedem Unternehmen arbeiten ausschliesslich IT
>Spezialisten, die über mindestens 20 Jahre IT und Newsneterfahrung
>verfügen.


Die Spezilisten sitzen hier auf der Lauer und warten nur auf Anfragen wie
deine, damit sie ihre überholten Ansichten verbreiten können.

BTW: Hier läuft auf einen Exchange 2016 (zuständig für Win XP, 7, 10)
ESET Aber das kennst du vermutlich schon.

Da ich jedoch mit dem Zeuchs nichts am Hut habe, sondern lieber mit meiner
ollen XP-Kiste das Internet 24/7 verseuche, kümmer ich mich nicht um den
ganzen Quark - soll der Typ von Bechtle doch was tun für sein Geld...

>Eigentlich hätte ich es wissen müssen, dass diese Gruppe die falsche ist.
>Hier leben immer noch die selben Gnome wie schon vor 20 Jahren mit den
>selben Ansichten wie vor 20 Jahren, vermutlich sitzen sie auch alle noch im
>selben Büro wie vor 20 Jahren...


Also ich bin erst im November in ein schickes neues Büro eingezogen.
Schönes schnelles Internet, schöne Aussicht über die Solinger Innenstadt,
nettes und gemütliches Café in 50 Metern Entfernung... BTW: guter Punkt!
Ich gehe dann mal nach gegenüber nen Kaffee trinken...
Peter Faust (01.01.1970, 01:00)
Lars Gebauer schrieb:

>* Thomas Wildgruber:
>Nein. Ein Sicherheitsgurt kann die _Folgen_ eines Unfalles deutlich
>vermindern. Ein Sicherheitsgurt kann aber den Unfall an sich nicht
>verhindern.


Also genau wie ein Virenscanner auf dem Server eines Unternehmens.

Könntest du vielleicht dann auch eine Empfehlung nennen, die Thomas bei
der Entscheidungsfindung helfen kann?

Alles andere, worüber hier unsinnigerweise geschwafelt wird, ist nicht
gefragt gewesen.
Peter Faust (01.01.1970, 01:00)
Juergen Ilse schrieb:

>Hallo,
>Peter Faust <peter.faust-solingen> wrote:
>Inwiefern mindert ein Virenscanner die Folgen einer erfolgreichen Kompro-
>mittierung eines Unternehmensservers mit Malware? Ein kleiner Tip: er min-
>dert die Folgen nicht im geringsten.


Dieser Unfug wird auch durch ständige Wiederholung nicht wahrer.

>> Könntest du vielleicht dann auch eine Empfehlung nennen, die Thomas bei
>> der Entscheidungsfindung helfen kann?

>Meine Empfehlung lautet: Virenscanner weglassen


Mit dieser Empfehlung ist eine Zertifizierung nach ISO 27001:2017 nicht
möglich.

>und alternative Massnahmen
>ergreifen (Software whitelisting mittels "Software Restriction Policies",
>nicht benoetigte Netzwerkdienste abschalten, konsequente Rechtetrennung
>nutzen, sprich nur mit einem einfachen Benutzer-Account arbeiten, den
>Admin-Account *ausschliesslich* fuer administrative Zwecke verwenden, ...).
>Wenn es denn unbedingt eine Anti-Viren Software sein muss, die vom Her-
>steller des Betriebssystems verwenden (bei Windows also Windows-Defender),


Ein Virenscanner ist nötig - sowohl auf dem Server, als auch auf dem
Desktop.

>weil damit die Chance am geringsten ist, dass der Virenscanner bei System-
>updates dank false positives das gesamte System lahmlegt.


Updates werden in einer Testumgebung getestet, bevor sie ins
produktive System eingepflegt werden.

>> Alles andere, worüber hier unsinnigerweise geschwafelt wird, ist nicht
>> gefragt gewesen.

>Es war Teil der Antwort, weil es die Begruendungen fuer oben stehende
>Empfehlungen waren.


Deine Empfehlungen sind nicht hilfreich, da sie eine Zertifizierung
nach ISO 27001:2017 unterlaufen.
Peter Faust (01.01.1970, 01:00)
Juergen Ilse schrieb:

>Hallo,
>Peter Faust <peter.faust-solingen> wrote:
>Dein Einwand aendert am Wahrheitsgehalt nichts.


Oh, verzeih! Ich habe offensichtlich zu flüchtig gelesen: Du gehst von
einer erfolgreichen Kompromittierung aus, die ein serverseitiger
Virenscanner bei bekannten Viren aber schon verhindert hätte - und genau
das ist auch gefordert.

>>>> Könntest du vielleicht dann auch eine Empfehlung nennen, die Thomas bei
>>>> der Entscheidungsfindung helfen kann?
>>>Meine Empfehlung lautet: Virenscanner weglassen

>> Mit dieser Empfehlung ist eine Zertifizierung nach ISO 27001:2017 nicht
>> möglich.

>Ging es um ISO27000 zertifizierte Unternehmen oder eher um Privatnutzer?


Weder noch. Das mit der Zertifizierung habe ich eingebracht, um
dich von deinen Ausflüchten in Richtung "Privatmann" abzubringen:
um private Nutzer geht nämlich überhaupt. Allerdings habe ich die
Anforderungen des OP gelesen, du ganz offensichtlich nicht.

hint: Im Subjekt steht ein winziger Hinweis...

>Abgesehen davon bin ich durchaus nicht davon ueberzeugt, dass du mit deiner
>Behauptung wirklich recht hast. Auch restriktive Konfiguration und konse-
>quente Rechtetrennung koennen wirksame Schutzmassnahmen sein (richtig an-
>gewendet sind sie wirksamer als "online" Virenscanner, die staendig ver-
>suchen, die Dateien im laufenden BEtrieb zu ueberwachen ...).


Dann solltest du den/die Verantwortlichen in deinem Unternehmen befragen.
Die sind dir sicherlich behilflich.

>Wofuer? Um Dusseligkeit der Nutzer und Admins sowie Fehlkonfigurationen
>der Systeme auszugleichen?


Nein - um diverse Anforderungen zu erfüllen.

>>>weil damit die Chance am geringsten ist, dass der Virenscanner bei System-
>>>updates dank false positives das gesamte System lahmlegt.

>> Updates werden in einer Testumgebung getestet, bevor sie ins
>> produktive System eingepflegt werden.

>Auch beim Privatmann


Irrelevant in diesem Diskussionsfaden: Es geht um ein Unternehmen und nicht
um Privatleute.

>Tun sie das wirklich?


Ja. Befrage dazu den/die Verantwortlichen in deinem Unternehmen.

>Und wenn sie es tun: War danach wirklich gefragt?


Indirekt ja - es geht dem OP um Virenscanner in einem Unternehmen.
Das sagt mir, es geht dem OP nicht um eine kleine Firma, wo der Chef sich
selbst Abends ein halbes Stündchen um "die IT" kümmert.

>Und falls man (z.B. aus irgendwelchen eher formellen Gruenden) einen
>Scanner nutzen moechte, was genau spricht nun gegen das Produkt des
>OS-Herstellers, der es seinem System kostenlos beilegt?


Der OP fragte nach Alternativen. Hast du denn das OP nicht gelesen?
Thomas Wildgruber (11.04.2018, 13:13)
Hi Community,

welcher Virenscanner im Unternehmensumfeld mit Windows, ggf Mac und inkl.
Exchange ist zZ im Bereich der Brauchbaren angesiedelt?

Ich möchte mich von unserem Trend Micro verabschieden, der bremst die
Windows Clients beim geplanten Suchlauf deutlich ein und ausserdem ist es
seit einiger Zeit merkwürdig still im Bereich Mailserver. Wurden bis noch
vor ein paar Monaten noch jeden Tag mehrere Viren im Mailverkehr gefunden,
ist es in den letzten Wochen merkwürdig ruhig gworden. EICAR etc wird aber
gefunden.

Trend Micro war damals (Anfang der 2000er) ein wirklich guter AV, ausserdem
hat ein Bekannter von mir dort gearbeitet. Jetzt habe ich den Eindruck,
dass es Zeit für was Neues ist.

Ein Kollege hat den slowakischen ESET in den Raum geworfen aber nur weil er
gehört hat, dass er relativ ressoucenschonend sein soll. Hat noch jemand
irgendwelche anderen Tipps?

Thx & Bye Tom
Holger Marzen (13.04.2018, 08:57)
* On Wed, 11 Apr 2018 13:13:44 +0200, Thomas Wildgruber wrote:

> welcher Virenscanner im Unternehmensumfeld mit Windows, ggf Mac und inkl.
> Exchange ist zZ im Bereich der Brauchbaren angesiedelt?


Um Produktionsstörungen zu verursachen und ein falsches Gefühl von
Sicherheit zu vermitteln, taugen alle. Um die Revision ruhigzustellen
muss er Geld kosten.

Man setzt sowas ja nicht ein, um die Sicherheit zu erhöhen, sondern um
keine offene Flanke für Innen- und Außenrevision zu haben. Daher ist die
beste Vorgehensweise, sich eine Unternehmensberatung zu holen, die
irgende ein Produkt (?Marktführer?) empfiehlt. Dann hat man auch die
Entscheidung für das konkrete Produkt outgesourct. Schließlich gilt es
ja auch zu entscheiden, ob so ein Virenscanner ohne Eingreifen der
eigenen IT neue Virenpattern holt und automatisch scharfschaltet. Das
sollte man erst recht outsourcen, weil jede Entscheidung je nach Prüfer
falsch ist.

Ärger macht der Kram im Betrieb eh.
Thomas Einzel (13.04.2018, 15:10)
Am 13.04.2018 um 08:57 schrieb Holger Marzen:
> * On Wed, 11 Apr 2018 13:13:44 +0200, Thomas Wildgruber wrote:
>> welcher Virenscanner im Unternehmensumfeld mit Windows, ggf Mac und inkl.
>> Exchange ist zZ im Bereich der Brauchbaren angesiedelt?

> Um Produktionsstörungen zu verursachen und ein falsches Gefühl von
> Sicherheit zu vermitteln, taugen alle. Um die Revision ruhigzustellen
> muss er Geld kosten.


So einfach ist das leider nicht.

Ohne Virenscanner geht es angeblich nicht - das haben die AV
Hersteller-Marketingdruiden Managern und selbst einigen IT-nahen
Beschäftigten eingehämmert. Aber es gibt auch noch schlimmere Argumente:



und



und



Für betroffenen Unternehmen ist damit die Begründungskette faktisch
geschlossen, Schlangenöl praktisch amtlich angeordnet.

Windows 10 Enterprise steht vor dem Rollout, damit geht auch App-Locker,
da gibt es IIRC vom BSI bei entsprechender Konfiguration eine "Ausnahme"
vom Virenschutz, mal sehen.
Holger Marzen (13.04.2018, 15:18)
* On Fri, 13 Apr 2018 15:10:39 +0200, Thomas Einzel wrote:

> Am 13.04.2018 um 08:57 schrieb Holger Marzen:
> So einfach ist das leider nicht.


Doch. Nicht denken, kaufen.

> Ohne Virenscanner geht es angeblich nicht - das haben die AV
> Hersteller-Marketingdruiden Managern und selbst einigen IT-nahen
> Beschäftigten eingehämmert. Aber es gibt auch noch schlimmere Argumente:
>
> und
>
> und
>
> Für betroffenen Unternehmen ist damit die Begründungskette faktisch
> geschlossen, Schlangenöl praktisch amtlich angeordnet.


Eben, sag ich doch.
Andreas Kohlbach (13.04.2018, 21:17)
On Fri, 13 Apr 2018 15:10:39 +0200, Thomas Einzel wrote:
> Am 13.04.2018 um 08:57 schrieb Holger Marzen:
> So einfach ist das leider nicht.
> Ohne Virenscanner geht es angeblich nicht - das haben die AV
> Hersteller-Marketingdruiden Managern und selbst einigen IT-nahen
> Beschäftigten eingehämmert.


Man könnte auf vielen Rechnern auf alternative Betriebssysteme
umsteigen, die seltener Ziel der Virenprogrammierer sind.
Thomas Barghahn (14.04.2018, 00:25)
*Andreas Kohlbach* meinte:
> On Fri, 13 Apr 2018 15:10:39 +0200, Thomas Einzel wrote:
>> Am 13.04.2018 um 08:57 schrieb Holger Marzen:
>>> * On Wed, 11 Apr 2018 13:13:44 +0200, Thomas Wildgruber wrote:


>>>> welcher Virenscanner im Unternehmensumfeld mit Windows, ggf Mac und inkl.
>>>> Exchange ist zZ im Bereich der Brauchbaren angesiedelt?


>>> Um Produktionsstörungen zu verursachen und ein falsches Gefühl von
>>> Sicherheit zu vermitteln, taugen alle. Um die Revision ruhigzustellen
>>> muss er Geld kosten.


>> So einfach ist das leider nicht.


>> Ohne Virenscanner geht es angeblich nicht - das haben die AV
>> Hersteller-Marketingdruiden Managern und selbst einigen IT-nahen
>> Beschäftigten eingehämmert.


> Man könnte auf vielen Rechnern auf alternative Betriebssysteme
> umsteigen, die seltener Ziel der Virenprogrammierer sind.


Noch Anfang der 90'er Jahre hielten sich viele Konstruktionsprogramme im
Stahl-, Maschinen- und Schiffbau und bei der Maschinenunterstützung
(siehe DNC) noch im Bereich von Unix auf. Alles hat auch wunderbar
funktioniert - keine Frage! Auch ich erinnere mich gerne an diese Zeit.

Hewlett Packard und Konsorten - bspw. - haben damals richtig Geld
gemacht; und das nicht nur mit ihrer vollkommen überteuerten
Hardware(!), sondern auch mit ihren Softwareverträgen! Klar war damals
schon, dass es *so* nicht weitergeht!

Ende der 90'er bzw. Anfang der 2000'er Jahre gab es nicht nur in D einen
*entscheidenden* Umschwung! Alle großen Unternehmen besannen sich auf
Windows und stellten diesbezüglich eben genau auf jenes OS um. Warum
diese es wohl gemacht haben?
Kleiner Tipp: Zuverlässigkeit *eines* OS mit gleichzeitiger Pflege(!)
*und* die Kosten für Hard- und Software waren enorm geringer!

Schon zu der damaligen Zeit gab es unterschiedliche Derivate von Unix
*und sie haben sich bis heute vervielfacht*.
Der Wahn der Geldgierigkeit wurde so also irgendwie "umverteilt". ;-)

Hinzu kommt dann auch noch die nationale und internationale
Kommunikation, welche *auch* durch MS-Word, MS-Excel und sicherlich auch
durch MS-Access *deutlich* in den vergangenen Jahren geprägt wurde.

VBA ist das Stichwort(!) und *niemand* unter Unix und all seinen
Derivaten kann da mithalten (Punkt). ;-)

Was für Unix geblieben ist, auf Grund der Zuverlässigkeit, das sind die
Server und die großen Serverfarmen fast aller Kommunikationsunternehmen.

Schade eigentlich!

Freundliche Grüße
Thomas Barghahn
Juergen Ilse (14.04.2018, 01:52)
Hallo,

Andreas Kohlbach <ank> wrote:
> On Fri, 13 Apr 2018 15:10:39 +0200, Thomas Einzel wrote:
> Man könnte auf vielen Rechnern auf alternative Betriebssysteme
> umsteigen, die seltener Ziel der Virenprogrammierer sind.


Das aendert nichts an der prinzipiellen Frage zu Sinn und/oder Unsinn des
Einsatzes eines Virenscanners. Da Virenscanner der aktuellen Virenentwick-
lung prinzipbedingt *immer* hinterherhinken (komplett neue Virenentwick-
lungen koennen dem Virenscanner erst bekannt sein, nachdem der Scanner-
hersteller sie analysiert und die Signaturen entsprechend angepasst hat,
was aber nicht moeglich ist, bevor der Virus verbreitet ist und so beim
Scanner-Hersteller angekommen ist ... sofern der Scanner-Hersteller den
Schaedling nicht selbst erstellt hat, aber so etwas wollen wir den Her-
stellern von "Security Software" natuerlich nicht unterstellen) und eine
Kompromittierung durch einen auf dem kompromittierten System laufenden
Virenscanner nicht sicher erkannt werden koennen (der Virus hat alle
Moeglichkeiten, sich vor dem Scanner zu "verstecken", wenn er nur tiefer
ins System "eingegraben" ist als der Virenscanner), kann ein Virenscanner
gar nicht wirklich zuverlaessig sein (ausser als Waffe gegen hinreichend
alte Schadsoftware).
Somit beschraenken sich eigentlich (voellig unabhaengig vom verwendeten
Betriebssystem) die sinnvollen Massnahem auf

1. aktuell halten des Systems und der eingesetzten Software (sollte selbst-
verstaendlich sein, ist es aber leider oft nicht)

2. verringern der Angriffsflaeche durch abschalten nicht benoetigter Dienste
und Verzicht auf Software mit bekannten Sicherheitsluecken (auch das ist
leider bei vielen Anwendern nicht selbstverstaendlich)

3. konsequente Rechtetrennung, admin-Rechte wirklich nur fuer administrative
Aufgaben (leider auch alles andere als selbstverstaendlich)

4. Disziplin des Anwenders (leider bei vielen Anwendern ebenfalls illusorisch)

5. Ggfs. "Software whitelisting, z.B. mittels "SRP" (wird von vielen
Anwendern, besonders von "Virenscannerbefuerwortern", konsequent abge-
lehnt)

Das ist leider die traurige Wahrheit ...

Tschuess,
Juergen Ilse (juergenqusenet-verwaltung.de)
Holger Marzen (14.04.2018, 09:27)
* On Fri, 13 Apr 2018 15:17:03 -0400, Andreas Kohlbach wrote:

> On Fri, 13 Apr 2018 15:10:39 +0200, Thomas Einzel wrote:
> Man könnte auf vielen Rechnern auf alternative Betriebssysteme
> umsteigen, die seltener Ziel der Virenprogrammierer sind.


Auch dann monieren Sicherheitsabteilung und Revision, dass ein
Virenscanner Pflicht ist. Selbst wenn er auf einem
Linux-Applicationserver lediglich nach Windows-Schädlingen sucht.
Thomas Einzel (14.04.2018, 10:31)
Am 13.04.2018 um 21:17 schrieb Andreas Kohlbach:
> On Fri, 13 Apr 2018 15:10:39 +0200, Thomas Einzel wrote:
> Man könnte auf vielen Rechnern auf alternative Betriebssysteme
> umsteigen, die seltener Ziel der Virenprogrammierer sind.


LiMux...

Oh ja, mehrere OS im Desktopbereich auszurollen und zu supporten ist
das, worauf sich vor allem die IT-Abteilungen kleinerer Unternehmen
freuen. Oder Outsourcen, ja, juhu...

Und dann noch das Gejammer der Anwender, wenn sich sich Dateien teilen
sollen und die nicht in allen genutzten Plattformen komplett kompatibel
sind.

Man könnte natürlich auch komplett auf macOS oder besser Linux
umsteigen, aber es finden sich unter Garantie mehrere
Abteilungen/Bereiche, die auf Windowsanwendungen angewiesen sind, die in
Emulatoren nicht wirklich rund laufen. Könnte man auch für diese in
Windows VMs virtualisieren, ja.

Wie gesagt, so einfach ist es alles nicht. Wenn es einfach wäre, würden
alle nach deinem Vorschlag handeln und auch diese Diskussion gäbe es nicht.

Das man Windows gerade im Unternehmensumfeld auch ohne AV Schlangenöl
mit nur-Standardkonten sicher betreiben kann, wurde IMO mit SRP und
App-Locker schon ausreichend gezeigt. (und genau dafür gibt es IIRC auch
die Ausnahme "ohne AV" im BSI Grundschutz)
Leider passiert das zu selten, es wird leider kaum verstanden,...
schrieb ich ja schon.
Takvorian (14.04.2018, 13:28)
Juergen Ilse schrieb:

> Das ist leider die traurige Wahrheit ...


Windows hat ja schon einen Scanner an Bord. Wer meint, sowas haben zu
müssen, kann diesen also nutzen.
Die traurige Wahrheit über AV-Ware wird hier von Sandro Gaycken ausführlich
beschrieben. 25 Minuten, die sich lohnen.

Schraubt man sich AV-Ware aufs System, ist es danach eher unsicherer als es
vorher war. Man hat sich einen Netto-Verlust an Sicherheit eingehandelt.
Holger Marzen (14.04.2018, 16:12)
* On Sat, 14 Apr 2018 13:28:52 +0200, Takvorian wrote:

> Juergen Ilse schrieb:
> Windows hat ja schon einen Scanner an Bord. Wer meint, sowas haben zu
> müssen, kann diesen also nutzen.
> Die traurige Wahrheit über AV-Ware wird hier von Sandro Gaycken ausführlich
> beschrieben. 25 Minuten, die sich lohnen.
>
> Schraubt man sich AV-Ware aufs System, ist es danach eher unsicherer als es
> vorher war. Man hat sich einen Netto-Verlust an Sicherheit eingehandelt.


Im Business gelten ganz andere Regeln, da geht es zu allererst darum,
nicht schuld zu sein und das zu tun, was dort anerkannt gut ist. Geld
ausgeben ist positiv bewertet und Teil einer ?ordnungsgemäßen?
Datenverarbeitung. Man hat dann einen Vertragspartner, und jeder
Mitspieler (Manager, Revisor, Rechtsabteilung, BSI) ist überzeugt davon,
dass dieser haftet ? obwohl jeder wissen müsste, das in den Verträgen
jede Haftung ausgeschlossen wird. Macht nichts, die lügen sich alle
gegenseitig in die Tasche, weil es schon immer so war und verdammt
unbequem werden würde, wenn man es hinterfragen würde.

Die bessere und sicherere Lösung zieht immer den kürzeren, wenn ein
Manager dadurch für diese Lösung selbst Verantwortung übernehmen muss.
Das ist der Grund, warum unsere Daten immer noch auf nicht
vertrauenswürdigen Closed Source Systemen wie Windows, kommerziellen
Unixen und z/OS, auf Datenbanken wie Oracle und DB2 verarbeitet werden
und durch Netzsicherheitskomponenten von Cisco, Juniper oder Checkpoint
angeblich geschützt werden.

Wer dagegen angeht, macht sich eine Menge Arbeit, Ärger und Feinde und
muss bei Vorfällen beweisen, dass ?seine? Systeme nicht schuld waren.
Warum sollte das jemand tun, wenn er doch bloß anderer Leute Daten
verarbeitet?

Ähnliche Themen