PeacemakerAT schrieb:
Ja aber wenn AV ein Sicherheitsrisiko wären würden Konzerne mit extremen Fokus auf Sicherheit doch darauf verzichten oder?
nicht unbedingt.
Aus technischer Sicht, sind Antiviren leider problematisch
Aus Compliance Sicht hingegen können sie zwingend notwendig sein. Wenn die Versicherung es vorgeschieben hat oder Verträge mit Kunden es vorsehen, kommt man in der Realität nicht darum herum.
Wenn etwas passiert, kann es wirtschaftlich sinnvoller sein, dass Software durchgehend protokolliert und zentral ablegt, wann, wo und bei wem etwas passiert ist.
Das diese Software das unternehmen lahm legen kann, wissen viele Fachabteilungen,
Die Kosten die Schadsoftware und Antivirensoftware verursacht sind beide sehr schwammig, da Unternehmen kein Interesse daran haben es zu publizieren, wenn etwas schief geht.
Die großen Fälle schaffen es gelegentlich in die Medien, zuletzt Crowdstrike, wo man von Mindestens 5-10 Milliarden Schade, je nach quelle, ausgeht.
https://www.messageware.com/what-caused-the-crowdstrike-outage-a-detailed-breakdown/
https://en.wikipedia.org/wiki/2024_CrowdStrike-related_IT_outages
Relativ oft kommt es vor, dass zentrale Lösungen wie bspw. die Symantec Endpoint Protection angegriffen werden, und darüber auf weitere PCs im Unternehmensnetz infiziert werden können
->
https://app.opencve.io/cve/?vendor=broadcom&product=symantec_endpoint_protection
Betrifft aber so ziemlich jede Antivirensoftware mit zentraler Verwaltung alle paar Jahre mal.
Gerne verifizieren Updater auch nicht sauber, wer ihnen die Virensignaturen gerade ausliefert und erlaubt so schadcode einzispielen und auszurollen
oder einfach direkt RCE:
https://www.exploit-db.com/exploits/31853
Die tools laufen halt mit vollen rechten und bringen verdammt viele, teils externe Komponenten um Dateien auf Schadsoftware zu untersuchen mit.
Abstraktes Beispiel dazu: Es gibt eine Firma, die eine CAD Software mit eigenem, proprietärem Format entwickelt. Der Antivirenhersteller kann natürlich nicht fuer diese und tausende andere Tools Software entwickeln um all diese Formate zu entpacken, also bekommt man vom Entwickler ein kleines Binary, welches vor der Untersuchung das Entpacken der Datei übernimmt.
Dem Hersteller wird nun eine Sicherheitslücke gemeldet. Sie wird geschlossen, Updates werden an Kunden und den Antivirenhersteller verteilt. Die CAD Software beim Kunden ist dann gerne schon gepatched, in der Antivirensoftware kann sie jedoch noch angreifbar sein.
Dazu kommt noch, dass bestehende Sicherheitsmechanismen in Windows deaktiviert werden, was probleme wie den oben genannten Crowdstrike Fall erst ermöglicht.
Gute sicherheit passiert durch das schließen von Sicherheitslücken. Nicht durch mehr Software, die mehr Angriffsfläche schafft.
Firmen müssen zwischen technischer- und Rechtssicherheit wählen. An der Stelle verstehe ich den Weg der Rechtssicherheit.
Dazu kommt auch, dass Firmen gezielter angegriffen werden ->
https://www.microsoft.com/en-us/mic...y/ceo-fraud-what-it-is-and-how-to-identify-it
