Möchten Sie mehr wissen?

PC-WELT sprach zum Thema IT-Sichherheit und Privatsphäre mit Matthias Gärtner. Er ist Pressespre-cher beim Bundesamt für Sicherheit in der Informationstechnik (BSI, www.bsi.de).

PC-WELT: Was halten Sie vom automatischen Versand verdächtiger Dateien an einen Antiviren-Hersteller?Gärtner: Wichtig ist, dass dieser Vorgang transparent abläuft. Gefragt ist der infor-mierte Nutzer, der weiß, was eine Commu-nity-Funktion ist.PC-WELT: Finden Sie, dass der Hinweis bei der Installation von Avira Antivir Premium die Ver-sandfunktion transparent genug beschreibt?Gärtner: Grundsätzlich sollten sich Nutzer vor der Installation genau über die Software informieren, etwa auf der Internetseite des Herstellers oder über PC-Magazine.PC-WELT: Sollte Avira vor jedem Versand einer Datei den Benutzer informieren?Gärtner: Ob eine Information sinnvoll ist,hängt vom Benutzer ab und von der Frage,was gesendet wird. Beim Versand von Datei-Inhalten würde ich mir einen Hinweis wün-schen, damit ich entscheiden kann, ob ich diese Information tatsächlich weitergeben möchte.PC-WELT: Wie steht das BSI generell zum Datenversand durch Antiviren-Programme, beispielsweise nur vom Fingerabdruck einer verdächtigen Datei?Gärtner: Das ist ein Spagat zwischen Pri-vatheit auf der einen Seite und der Notwen-digkeit der IT-Sicherheit auf der anderen Seite. Der Versand eines Fingerabdrucks ist sinnvoll, denn im Internet taucht durch-schnittlich alle zwei Sekunden eine neue Virusdatei auf. Wichtig ist, dass die Herstel-ler von Sicherheitsprogrammen diese Daten ausschließlich zur Erhöhung der IT-Sicher-heit nutzen.PC-WELT: Empfehlen Sie, die Community-Funk-tion bei Avira Antivir Premium zu deaktivieren?Gärtner: Die Community-Funktion ist eine Methode, um sich vor der zunehmenden Vi-renflut besser zu schützen. Nutzer sollten sich über die Funktion informieren, um dann eine bewusste Entscheidung zu treffen.

Matthias Gärtner, BSI

6/201068

E inige Versionen des Antiviren-Pro-gramms von Avira schicken verdäch-tige Dateien automatisch an das Si-

cherheitslabor des Herstellers – ohne den Benutzer zu informieren. In den meisten Fällen handelt es sich dabei um ausführbare Dateien. Es können aber genauso gut per-sönliche PDF- und Office-Dateien oder Fo-tos sein. Denn auch diese Dateitypen kann der Virenwächter als verdächtig einstufen.So können nach Fehlalarmen private Excel- oder Word-Dokumente bei Avira landen,in denen sich – scheinbar gefährliche – Ma-kros befinden.

Den wenigsten Benutzern der Schutz-Software ist das bewusst. Darum klärt PC-

WELT hier auf, wieso sich Avira die Dateien schicken lässt, wie Sie das verhindern kön-nen und wie andere Hersteller von Antivi-ren-Software vorgehen.

Neue Sicherheitsfunktion von Antivir sendet Dateien

Antiviren-Software-Hersteller Avira (www.avira.de) hat Ende März die Version 10 sei-ner Sicherheitsprogramme vorgestellt. Zu den neuen Funktionen zählt bei den Kauf-programmen die „Erweiterte Online-Prü-fung“. Sie sendet verdächtige Dateien ins Antiviren-Labor des Herstellers. Die Funk-tion ist in Avira Antivir Premium 10 und Avira Antivir Security Suite 10 enthalten.

Die Kaufversionen der Antiviren-Software von Avira senden persönliche Dateien ins Internet,

ohne den Nutzer zu fragen. Die beliebte Gratis-Variante zieht wohl bald nach.

R AT G E B E R Software

AVIRA ANTIVIRPremium sendet

Dateien

068-071 Avira Antivir_fp.indd 2 28.04.10 09:38

Click t

o buy N

OW!PD

F-XChange Viewer

ww

w.docu-track.com Clic

k to b

uy NOW

!PD

F-XChange Viewer

ww

w.docu-track.c

omClick t

o buy N

OW!PD

F-XChange Viewer

ww

w.docu-track.com Clic

k to b

uy NOW

!PD

F-XChange Viewer

ww

w.docu-track.c

om

Möchten Sie mehr wissen?PC-WELT hat die Hersteller gefragt, welche Informationen ihre Produkte bei Virenver-dacht ins Internet senden. Die unterschied-lich ausführlichen Antworten sind in der Tabelle rechts so zusammengefasst:Fingerabdruck: Dabei handelt es sich um eine kurze, eindeutige Zeichenfolge, die aus

der verdächtigen Datei generiert wurde. Sie verrät nichts über ihren Inhalt.Datei-Infos: Das sind technische Infos zur Datei, zum Beispiel Größe und Speicherort.Systeminfos: Diese Informationen sind das Ergebnis der Verhaltensanalyse. Dazu gehö-ren Einträge, die der Virus in die Windows-Registrierungsdatenbank schreibt, und In-fos, von welcher Internetseite er stammt.

Ausführbare Dateien: Einige Sicherheits-pakete senden Programmdateien, aber keine Dokumente an ihre Hersteller.

Vier Hersteller haben nicht auf die PC-WELT-Anfrage reagiert. Bei ihnen steht in der Tabelle „keine Angabe“. Ob die ande-ren Antworten korrekt sind, lässt sich nicht überprüfen: Die meisten Sicherheitspro-gramme senden die Daten verschlüsselt.

6/201070

R AT G E B E R Software

Das kostenlose Avira Antivir Personal Free wird sie möglicherweise im Laufe des Jahres erhalten.Nur knappe Info: Bei der Installation der Software weist der Einrichtungsassistent auf das neue Modul hin. Das zugehörige Auswahlkästchen ist standardmäßig akti-viert. Als Info erscheint folgender Text: „Er-weiterte Online Prüfung nutzen (Antivir Proactiv Community). Verbessern Sie den Schutz für Ihr System, indem Sie verdäch-tige Dateien online prüfen lassen.“ Wer hier einfach auf „Weiter“ klickt, wie wohl die meisten PC-Nutzer bei der Installation eines Programms, lässt die Funktion eingeschal-tet. Bei der künftigen Nutzung der Software erscheint keine weitere Meldung.

Aviras Sonderweg bei der Community-Funktion

An sich sind Community-Funktionen bei Antiviren-Software sinnvoll, und sie sind weder neu noch verwerflich. Allgemein empfiehlt PC-WELT: Wenn Ihr Sicherheits-programm eine solche Funktion anbietet,können Sie sie auch aktivieren. Schließlich sollten Sie das Programm ohnehin nur dann

verwenden, wenn Sie dem Hersteller ver-trauen. Avira wählt für die Funktion aller-dings einen Sonderweg, den PC-WELT be-denklich findet.Das steckt dahinter: Früher erkannten Antiviren-Programme schädliche Software allein anhand ihrer Datenstrukturen. Deren Signaturen werden per Aktualisierung in die Schutz-Software integriert. In den letzten Jahren tauchten aber immer mehr neue Vi-ren im Internet auf. Um dieser Masse Herr zu werden, brauchten die Sicherheitsherstel-ler eine neue Schutztechnik. Sie entwickelten die verhaltensbasierte Virenerkennung. Sie überwacht das Geschehen auf dem PC und prüft genau, welche Aktionen ein Programm durchführt. Benimmt sich eine Datei ver-dächtig, wird sie gestoppt, obwohl sie bis-lang nicht als Virus bekannt ist.

Hier kommt die Community-Funktion ins Spiel: Hersteller von Antiviren-Software möchten natürlich neue Schädlinge sofort untersuchen. Mit entsprechenden Infos las-sen sich die PCs der anderen Programmnut-zer dann umgehend schützen, etwa über klassische Signatur-Updates. Diese haben gegenüber der verhaltensbasierten Erken-

nung immer noch den Vorteil, dass sie weni-ger Rechenleistung brauchen. Darum senden viele Antiviren-Programme „Fingerabdrü-cke“ verdächtiger Dateien an die Hersteller.

Einige Programme übermitteln weitere Infos aus der verhaltensbasierten Erken-nung: ob der Virus von einer Internetseite stammt, welche Einträge er in die Windows-Registrierungsdatenbank vornehmen wollte und Ähnliches. Unter Umständen schickt das Programm auch die komplette Wirts-datei des Virus. Der Hersteller kann sie dann gründlich analysieren und ausschließen, dass ein Fehlalarm vorliegt.

Was die Spezialisten mit den Infos genau anstellen, unterscheidet sich von Hersteller zu Hersteller. Die meisten verteilen sie per Signatur-Aktualisierung an ihre Antiviren-Programme. Andere füttern mit den Finger-abdrücken eine Online-Datenbank. Darauf kann das Antiviren-Programm des Benut-zers zugreifen und so beim Auftauchen einer verdächtigen Datei nachfragen, ob diese schon bekannt ist. So arbeiten etwa die An-tiviren-Spezialisten Panda Security und teil-weise Trend Micro sowie F-Secure.Der Avira-Sonderweg: Alle einschlägigen Programme mit Online-Prüfung weisen bei der Installation darauf hin und fordern den Nutzer auf, die Community-Funktion zu aktivieren. Einzig Avira hat den Haken, der die Funktion aktiviert, schon vorab gesetzt.Zudem senden die Avira-Programme alle ver-dächtigen Dateien – also auch persönliche Dateien. Einige andere Virenwächter senden zwar auch verdächtige Programmdateien.Daran ist aber nichts auszusetzen, denn eine Programmdatei enthält keine persönlichen Informationen. Einzig Eset gab auf PC-WELT-Nachfrage für sein Programm Smart Security 4 an, ebenfalls alle verdächtigen Dateien zu senden. Dabei könnten also auch Benutzerdateien sein.

Welche Informationen und Dateien aktu-elle Sicherheitspakete genau übertragen, hat

Die meisten PC-Nutzer klicken bei der Installation von Software erfahrungs-gemäßauf „Weiter“, ohne den Text im Fenster vorher genau zu lesen.

Dieser Haken schaltet die Funktion für den Daten-versand ein. Er ist standardmäßig gesetzt.

068-071 Avira Antivir_fp.indd 4 28.04.10 09:38

Click t

o buy N

OW!PD

F-XChange Viewer

ww

w.docu-track.com Clic

k to b

uy NOW

!PD

F-XChange Viewer

ww

w.docu-track.c

omClick t

o buy N

OW!PD

F-XChange Viewer

ww

w.docu-track.com Clic

k to b

uy NOW

!PD

F-XChange Viewer

ww

w.docu-track.c

om

716/2010

Software R AT G E B E R

Das senden Internet-Sicherheitspakete bei VirenverdachtProdukt Welche Daten oder Dateien werden

bei Verdacht auf einen Virus an den Hersteller übertragen?

Wird der Nutzer vor dem Versand der Daten oder Dateien informiert?

Kann der Nutzer sehen, welche Daten gesendet wurden?

Werden Nutzerdatengesendet?

Avast Internet Security 5.0www.avast.com Fingerabdruck, Datei-Infos nein nein nein

AVG Internet Security 9.0 www.avg.de Datei-Infos, Systeminfos, ausführbare Dateien nein nein Benutzerkennung

Avira Internet Security Suite 10 www.avira.de Datei-Infos, Systeminfos, alle verdächtigen Dateien nein ja, per Log-Datei nein

Bitdefender Internet Security 2010 www.bitdefender.de keine Angabe keine Angabe keine Angabe keine Angabe

CA Internet Security Suite Plus 2010http://ca-store.de keine Angabe keine Angabe keine Angabe keine Angabe

Eset Smart Security 4 www.eset.de alle verdächtigen Dateien nein ja, per Log-Datei nein

F-Secure Internet Security 2010 www.f-secure.de Fingerabdruck, Datei-Infos, Systeminfos nein nein nein

G-Data Internet Security 2010 www.gdata.de ausführbare Dateien ja nein nein

Kaspersky Internet Security 2010 www.kaspersky.de Fingerabdruck, Datei-Infos, Systeminfos nein nein Benutzerkennung

McAfee Internet Security 2010 www.mcafee.com Fingerabdruck nein nein nein

Norton Internet Security 2010 www.symantec.de

Fingerabdruck, Datei-Infos, Systeminfos, ausführbare Dateien nein ja, per Log-Datei Programmkennung

Panda Internet Security 2010 www.pandasecurity.com Fingerabdruck, Datei-Infos nein nein nein

PC Tools Internet Security 2010 www.pctools.com Fingerabdruck nein nein nein

Trend Micro Internet Security Pro 2010 www.trendmicro.com keine Angabe keine Angabe keine Angabe keine Angabe

Webroot Internet Security Essentials 2009 www.webroot.com keine Angabe keine Angabe keine Angabe keine Angabe

Zone Alarm Internet Security Suite 2010 www.zonealarm.com Fingerabdruck, Datei-Infos, Systeminfos nein nein Programmkennung

Der Expertenmodus muss aktiviert sein, damit Sie die Community-Funktion sehen können.

Entfernen Sie den Haken in diesem Kästchen, wenn Antivir Premium keine Dateien verschicken soll.

PC-WELT bei den 16 Herstellern der wich-tigsten Programme abgefragt. Die Antwor-ten finden Sie in der Tabelle unten.

So schalten Sie bei Avira den Datenversand ab

Wollen Sie keine Dateien an die Server von Avira schicken, dann können Sie das bei der Installation leicht unterbinden: Entfernen Sie das Häkchen im Fenster „Antivir Proac-tiv Community“.

Haben Sie das Programm bereits instal-liert, deaktivieren Sie den Datenversand über „Extras Konfiguration“. Schalten Sie zuvor den „Expertenmodus“ ein, damit die Funktion überhaupt angezeigt wird.Dann lässt sich das Häkchen vor „GuardProactiv An Avira Antivir Proactiv-Com-munity teilnehmen“ entfernen.

Avira sollte die neue Funktion entschärfen

PC-WELT wollte von Avira wissen, warum seine Software alle verdächtigen Dateien sendet. Produktmanager Helmut Büsker er-klärte, man habe darüber lange diskutiert und sei zu dem Schluss gekommen, die Si-cherheit der Kunden sei das Wichtigste.

Würden die Avira-Programme vor dem Da-tenversand stets die Benutzer fragen, wür-den viele das Senden verweigern. Damit gäbe es weniger neue Viren zur Analyse.Würden nur Programmdateien verschickt,entfiele ebenfalls aufschlussreiches Material.

PC-WELT findet allerdings, dass das Mehr an Sicherheit auf Kosten der Privat-sphäre geht, und fordert: 1. Die Community-Funktion darf nur aktiv sein, wenn der Nutzer sie eingeschaltet hat.Außerdem sollte der Infotext unmissver-ständlich ansprechen, dass alle verdächtigen Dateien an Avira geschickt werden.2. Vor dem Versand einer Datei sollte der Nutzer informiert werden. In der Meldung

sollte er den Versand stoppen oder erlauben können. Ideal wäre ein Filter für Dateity-pen: So könnte jeder selbst bestimmen, ob er gar nichts, nur Programmdateien oder auch persönliche Dateien weitergeben will.

Positiv bleibt festzuhalten, dass Avira die PC-WELT-Fragen offen beantwortete. An-dere Software-Hersteller zeigten sich längst nicht so auskunftsfreudig (siehe Tabelle un-ten auf dieser Seite). Außerdem ist Avira ein deutscher Hersteller. Die Daten landen auf Servern in Deutschland und unterliegen dem hiesigen Datenschutzgesetz. Andere Programme senden die Daten dagegen in die USA oder nach Russland.

Arne Arnold

068-071 Avira Antivir_fp.indd 5 28.04.10 09:38

Click t

o buy N

OW!PD

F-XChange Viewer

ww

w.docu-track.com Clic

k to b

uy NOW

!PD

F-XChange Viewer

ww

w.docu-track.c

omClick t

o buy N

OW!PD

F-XChange Viewer

ww

w.docu-track.com Clic

k to b

uy NOW

!PD

F-XChange Viewer

ww

w.docu-track.c

om