Die Grenzen der Sicherheitstools

Das Angebot an Sicherheitstools ist heute schier grenzenlos. Firewalls, Virenscanner, Antispam-, Antispyware-, Intrusion-Detection- und -Prevention-Systeme, alle wollen sie helfen, den Feind draußen und den eigenen Rechner sauber zu halten. Treten sie in Kombination auf, so spricht man gerne von Unified Threat Management (UTM).

Häufig verstehen Hardwarehersteller unter UTM, jede Menge bunt gemischter und schlecht abgestimmte Sicherheitstools vorzuinstallieren. Microsoft packt noch ein paar Ressourcenfresser, etwa die Systemwiederherstellung, Defender und Wiederherstellungskonsole, obendrauf. Alles zusammen soll die Unversehrtheit des Rechners gewährleisten.

Sicherlich haben all diese Tools ihren Nutzen – aber auch ihre Grenzen, wie ich selbst unlängst, quasi im „unfreiwilligen Selbstversuch“, erfahren durfte. Denn die Tools haben Fehler und Lücken. Je mehr Tools, desto größer die Gefahr von Datenverlust. Im Zweifel hilft nur eine vollkommene Neuinstallation des fehlerhaften Rechners.

Mir ist letzte Woche folgendes passiert: Ein Windows-XP-Desktop, der seit Jahren ohne Murren funktionierte, versagt am Montagmorgen plötzlich den Dienst. Noch vor der Anmeldemaske startet der Rechner einen neuen Bootvorgang. Ich vermute einen Hardwaredefekt und mache mich auf die Suche.

Lüfter reinigen, Kontakte putzen, Gehäuse aussaugen. Einmal das ganze Programm. Stunden später läuft das Gerät tatsächlich wieder, allerdings nur bis zum nächsten Montag.

Ich werde stutzig. Soll ausgerechnet ich Opfer eines Spammers sein, der meinen Rechner jeden Montag als Spamschleuder missbraucht? Der Rechner ist mit einer namhaften und hochaktuellen Internet-Schutzlösung gegen Viren, Spyware, Trojaner und andere Malware ausgestattet.

Im Internet rufe ich nur „seriöse Seiten“ ab. Die LEDs meines Routers betrachte ich stets mit einem Auge. Bei verdächtigem Flackern unterbreche ich die Verbindung. Da aber jede Software  ständig „nach Hause telefonieren“ möchte, ist es mittlerweile schwierig, normales von bösem Flackern zu unterscheiden.

Die Untersuchung des kompletten Rechners mit allen vorhandenen Sicherheitstools liefert keinen positiven Befund, auch nicht beim Starten von Original-CD, um ein Rootkit auszuschließen. Meine „Ausfallzeit“ hat sich nicht gelohnt. Die Systemwiederherstellung von Windows XP funktioniert leider auch nicht wie beschrieben.

Wie in der Woche davor läuft der Rechner am Montagnachmittag wieder. Ich will allerdings nicht nächsten Montag dasselbe erleben. Also untersuche ich genauer. Ich finde heraus, dass offensichtlich beim Systemstart versucht wird, eine Verbindung zum Internet aufzubauen. Das verhindert jedoch eines meiner Tools. Ohne bereits gestartete Grafikumgebung kann das Tool keine Warnung anzeigen und beschließt stattdessen abwechselnd einen Bluescreen zu verursachen oder neu zu booten.

Alle Versuche mit der Windows-Wiederherstellung oder den unterschiedlichen Bootoptionen im abgesicherten Modus, den Rechner wieder zur korrekten Arbeit zu bewegen, schlagen fehl.

Die Neuinstallation scheint mir noch der schnellste Weg zur Fehlerbeseitung zu sein. Seither läuft das Gerät seit Wochen wieder ohne Probleme. Ein Hardwarefehler scheidet aus. Hardware, die nur am Montagvormittag ausfällt, ist wohl noch nicht erfunden.

Wahrscheinlicher ist, dass ein Sicherheitstool just zu diesem Zeitpunkt Updates holen wollte, und sich dabei nicht bis zum Ende des Bootvorgangs gedulden mochte. Das wiederum hat ein anderes Tool wirkungsvoll verhindert.

Sollte es tatsächlich eine Malware gewesen sein, die jeden Montag möglichst schnell Spionagedaten über mich nach Hause schicken wollte, haben alle meine Sicherheitstools versagt, denn die haben schließlich nichts gefunden.

Ich mag meine ressourcenfressenden Sicherheitstools trotzdem. Mein Rechner produziert mehr Wärme, und ich kann die Heizung runterdrehen. Irgendwann bekomme ich von den Gaswerken einen Umwelt-Award, und die E-Werke gewähren mir Gold-Customer-Status.