F-Secure im Interview: Antivirensoftware für Mac und die Frage nach dem Nutzen

rj, den 14. Februar 2010
F-Secure
F-Secure

Als „Insel der Seligen“ wird die Mac-Plattform gerne und in manch einer Hinsicht betrachtet. Geht es um Viren, Würmer und andere Malware, herrscht nach wie vor eitel Sonnenschein im Apfelland, denn noch immer sind dort Mac-Schädlinge Raritäten, verglichen mit der Lage im Windows-Lager. Inhärente Sicherheit des unixoiden Unterbaus oder schlicht mangelnde Attraktivität? Hier scheiden sich die Geister, wie auch im folgenden Interview zu sehen sein wird. F-Secure sieht noch keine Epidemien, aber erhöhten Sicherheitsbedarf auch für den Mac zumindest für die Zukunft – ansonsten wäre keine F-Secure-Suite für Mac OS X erschienen.

Dem vorweg: Virenschutz „auch“ für den Mac bedeutet für F-Secure weniger, dass die Apple-Plattform nun eben auch ihre AV-Pakete bekommen muss, weil die Bedrohungslage so ernst geworden sei. Vielmehr ist die Erweiterung des Angebots auf den Mac Teil eines Paradigmenwechsels in Sachen Sicherheit: statt einzelner Rechner soll der User geschützt werden, statt isolierter AV-Scanner auf Computern die gesamte (heterogene) Netz-Infrastruktur – Macs inbegriffen. Oder in den Worten F-Secures: „Malware für den Mac ist noch immer selten, insbesondere, wenn man den Vergleich mit der Windows-Plattform zieht. Liegt es an der inhärenten Sicherheit eines unixoiden Betriebssystems oder ist der Mac nur keine attraktive Plattform für Virenautoren? Wir stehen an einem Scheideweg. F-Secure sieht einen wachsenden Bedarf an Mac-Schutzsoftware, andernfalls wäre keine Beta der F-Secure Security Suite für Mac OS X erschienen.“

Vor den Fragen an F-Secure und den Antworten von Sean Sullivan, Security Advisor in den Helsinki F-Secure Labs, einige harte Fakten vorweg: F-Secure Mac Protection ist als Beta verfügbar. Die Mac-Lösung wird als Teil der „Security as a Service“-Konzeption von F-Secure betrachtet, die sich wiederum vorwiegend an Businesskunden und ISPs richtet. Dort wird sie von einem Teil der Kunden bereits im Rahmen eines Servicepakets verwendet – üblicherweise in gemischten Infrastrukturen (Win/Mac/Mobile). Eine Version für Privatkunden soll laut F-Secure noch in diesem Jahr erscheinen, hierbei stehen bislang weder Releasedatum noch Preis fest.

Die Kernfeatures umfassen:

  • Echtzeit-Virenschutz mit automatischen Updates.
  • „Panik-Button“ zum sofortigen Abbruch aller Internetverbindungen bis auf den zu den Update-Servern.
  • Lokalisierung (u. a. deutsch, in der Beta bereits zu weiten Teilen umgesetzt).
  • Schnelle Performance.
  • Firewall-Integration (der Mac OS X-FW, mehr dazu später).

Macnotes:

Zuerst vielen Dank fürs Interview, insbesondere angesichts der Tatsache, dass ihr es mit einem Interviewer führt, der zu drastischen Ansichten neigt dahingehend, dass auch unter Windows der Virenscanner alles andere als ein Pflichtprogramm ist, der AV-Software auf dem Mac vollends für überflüssig hält (und ihre Vermarktung gelinde gesagt gelegentlich für irreführend). Unter anderem aber Apple selbst ist anderer Meinung und empfiehlt seit einiger Zeit Virenscanner auch unter Mac OS X. F-Secure für den Mac ging schon letztes Jahr in eine Public Beta, die aktuelle Version bringt auch eine Firewall mit bindet auch die Mac OS X-Firewall in ihr Securitykonzept mit ein. Auf was gründet sich euer Angebot, wie konkret sind die Gefahren, die von Mac-Malware ausgehen, und welches ist die Zielgruppe für die Mac-Version von F-Secure?

 

F-Secure:

Großen Anteil an unserer Entscheidung, einen Mac-Client zu entwickeln, hatten unsere Kunden im ISP/Operator-Bereich, die das wünschten. Wir versuchen nicht einfach, einen Mac-Client zu entwickeln, sondern einen Zugang zu unseren Services zu schaffen.

Das gilt für alle unsere Software-Clients. So holt beispielsweise unser Windows-Client mehr und mehr seiner Funktionalitäten von Servern „aus der Cloud“ ab. Unser Ziel ist, alle unsere Sicherheitslösungen vollständig unabhängig von der Plattform an unsere Kunden ausliefern zu können.

Das bedeutet, dass unser eigentliches Ziel der Schutz des Users ist, nicht des Computers. Betriebssysteme sind mit der Zeit sicherer geworden, Standard-AV-Funktionen sind nicht mehr so notwendig wie früher. Wir wollen keine Standard-AV-Lösung anbieten.

Also, warum AV für den Mac? Weil das der natürliche Anfangspunkt ist. Es ist das Schlüsselprinzip in unserem Entwicklungsprozess. Unser zukünftiger Schwerpunkt wird sich zu userbasierten Schutzfunktionen verlagern.

 

Macnotes:

Ich ließ mir 2009 aus AV-Kreisen sagen, dass die einschlägigen via Porn-Videocodec oder Torrent verbreiteten Würmer infizierte Macs im fünfstelligen Bereich nach sich gezogen hätten. Deckt sich das mit euren Analysen, bzw. wie sieht eure Diagnose der Mac-Epidemiologie aus?

F-Secure:

Ja. Es fanden zahlreiche Infektionen von DNSChanger und Varianten statt. Die Trojaner setzen auf Social Engineering (wie es auch die Mehrzahl der Windows-Schädlinge tut). Die Betreiber machen Geld durch das Umleiten von Porn-Suchergebnissen auf ihre eigenen „Sponsoren-Ergebnisse“. Die Opfer suchen Porn, finden den Köder und merken meist nicht einmal, dass ihre Suchergebnisse manipuliert waren.

Das Prinzip ist schon länger erfolgreich, seit zwei Jahren wird es nun auch auf Macs angewendet. (Weitere Bedrohungen für die Mac-Plattform finden sich hier.)

Ich würde das alles auch noch keine „Epidemie“ nennen. Es existiert. Im Moment ist es einfacher, Windows anzugreifen. Mikko fasst das hier schön zusammen.

Macnotes:

Die fundamentale Kritik: Ohne Beteiligung des Anwenders geht auf dem Mac nichts, was Viren und Trojaner angeht. Eine AV-Software kann einem Root nicht die Rechte entziehen, sie gegebenenfalls zu umgehen oder abzuschießen. Vernünftig gedacht, sollte man von Software die Finger lassen, die man vor Inbetriebnahme scannen will. Was die Aktionen inkompetenter Dritter angeht, sollte man sich ebenso wenig darauf verlassen, dass jemand auf die Warnungen einer umgeh- und deaktivierbaren Software hört, wenn er schon nicht auf den Verantwortlichen für den Rechner gehört hat. Zu guter Letzt erzieht man sich selbst und andere Nutzer zum Hirnabschalten – jemand, der mit einem trügerischen Wissen um eine angeblich schützende Software eben auch „riskantere“ Installationen vornimmt, ist immer unsicherer unterwegs als jemand, der das eben bleiben lässt. Für dieses Bleibenlassen braucht man keinen Virenscanner. Dieser verführt allenfalls zum unvorsichtigen Verhalten und schwächt somit die Sicherheit des Systems – Q.E.D.
Zum langen Statement die kurze Frage: ist das nicht gerade auf einem System wie dem Mac kontraproduktiv, bedenkt man zum einen, dass der Mac noch mehr als andere Systeme zum „Lass das System machen“ erzieht und sich die faktische Malwareverbreitung auf sehr niedrigem Niveau bewegt?

F-Secure:

Auf allen Plattformen funktionieren die meisten Malware-Varianten nicht ohne irgend eine Art der Interaktion mit dem Anwender. Von „inkompetenten Anwendern“ zu reden ist nicht fair. Ein guter Blogartikel zum Thema ist „Wie erkenne ich einen Trottel?“ – Die Antwort: schau in einen Spiegel.

Die Bad Guys kennen das Spiel, die Opfer nicht. Den Kunden Sicherheitslösungen in die Hand zu geben, schadet nicht ihrem Sicherheitsbewusstsein.

Macnotes:

Konkret zu F-Secure: die Beta kommt aufgeräumt daher und integriert sich nahtlos ins System. Beim Testen fiel mir aber insbesondere ins Auge, dass die App ansonsten mit Informationen eher geizt. Beim Download der EICAR-Testfiles sprang der Scanner richtig an, löschte die geladenen Files und wies auch auf den Schadcode hin. Ich hätte zumindest aber erwartet, dass spätestens im Log die Möglichkeit besteht, mich zu informieren, was jetzt genau gefunden wurde. Ist das apple-typische Leichtigkeit, in der man nicht unbedingt Notwendiges eben der Übersichtlichkeit halber weglässt, oder kommt da noch was nach?

F-Secure:

Wie oben angemerkt: der Mac-Client ist zur Zeit nur der Anfang dessen, was das Team entwickelt.

Macnotes:

Eines der Argumente für Virenscanner unter Mac ist ja die Schutzfunktion für Windows-Rechner – man verbreitet keine Viren und Würmer weiter, die dem eigenen Rechner zwar keinen Schaden zufügen können, anderen aber schon. Von vxheavens.com beispielsweise konnte ich munter Material herunterladen, ohne dass sich der Scanner in irgend einer Form beschwerte – Windows- wie Macviren. Alles altes Material, zugegeben, und in der Regel gepackte/nicht kompilierte Scripte/Sourcen, liegt’s daran? Oder sind da die Definitionen einfach noch nicht so umfangreich?

F-Secure:

Windows-Malware von Mac OS X aus zu erkennen ist ein Feature, das vom Team noch implementiert wird. Wie oben angemerkt – wir wollen das komplette Rechner-Ökosystem unserer Kunden schützen.

Macnotes:

Personal Firewalls sind auch ein wenig Lieblingsfeindbild von mir – angesichts dessen die Frage, warum zur auf dem Mac bereits installierten Firewall nun noch eine integrierte FW in der Mac-Suite von F-Secure?

F-Secure:

Wir schalten die vorinstallierte Firewall von Mac OS X an und stellen ein Steuerungspanel zur Verfügung. Wir ersetzen nicht die vorinstallierte Firewall mit einer eigenen Lösung.

Macnotes:

Dass es auch in diesem Bereich kaum Möglichkeiten gibt zu sehen, was das Programm eigentlich tut, finde ich an sich schon wieder sympathisch – gerade genug Personal Firewalls zeigen jeden einzelnen Request eines Portscans an und suggerieren, damit permanent Angriffe abgewehrt zu haben. Nur stehe ich bei der aktuellen Beta nun vor dem Problem, dass ich gar keinen Einblick habe, was passiert – blockt die FW heimtelefonierende Programme wie es Little Snitch beispielsweise tut (soweit ich sehe, nein)? Blockt die FW unaufgeforderten eingehenden Traffic (Ping geht erfreulicherweise durch, beispielsweise)?

F-Secure:

Das Feedback werde ich an unser Entwicklungsteam weitergeben. Möglicherweise können sie ein Interface liefern, das besser in der Lage ist, solche Details zu erfassen, als das von Mac OS X bereitgestellte.

Macnotes:

Herr Sullivan, besten Dank für die Antworten.

Persönliches Fazit

Zugegeben, einer Beta vorzuwerfen, Beta zu sein ist nicht ganz fair. Ebenso wird einiges klarer, wenn das zugrundeliegende Sicherheitskonzept von F-Secure bedacht wird. Dennoch muss ich zugeben, nach ausgiebigem Testen nicht recht erkennen zu können, weshalb ich das Securitypaket nun auf dem MBP lassen sollte (die Deinstallation wird am Rande bemerkt AV-typisch über einen separaten Uninstaller durchgeführt).

Die grundsätzliche Frage, ob man einen AV-Scanner oder eine Personal Firewall braucht, wird weiter jeder für sich beantworten müssen – abgesehen von den Businesskunden F-Secures, die ohnehin eine entsprechende Infrastruktur einsetzen und diese als Teil eines umfassenderen Sicherheitskonzepts nutzen. Dass auch der Mac verstärkt Ziel entsprechender Angriffe wird, kommt mit der wachsenden Popularität der Produkte aus Cupertino. Worauf sich der Einzelanwender schlussendlich verlässt – Brain 1.0, Softwarelösungen oder beides – wird er nach wie vor selber entscheiden müssen.

(English Version)


Ähnliche Nachrichten