Antivirenprogramme für Linux sind nichts neues!

Es ist keine Neuigkeit dass es Virenscanner für Linux gibt. Aber wenn man einmal die Beschreibung deren Programme liest bemerkt man rasch dass hier kein konkreter Schutz für Linux-Viren angeboten wird. Es geht hauptsächlich darum mit den Programmen Windows-Systeme und bestimmte Dateien (z.B. Mail Anhänge) zu prüfen.

Fast jeder Antiviren Hersteller bietet eine bootfähige CD oder DVD zum Download an auf der die jeweilige Antivirussoftware läuft. Der Vorteil solcher Bootmedien ist dass Sie Windows-Systeme scannen und säubern können während das Betriebssystem nicht im Betreib ist und die darauf befindliche Schadsoftware ebenfalls nicht.

Für solche Zwecke sind Linux-Virenscanner durchaus sinnvoll. Aber es lohnt sich nicht einen Virenscanner auf einem Desktop-Linux zu installieren nur um gelegentlich mal einen E-Mail-Anhang zu scannen. Dafür sind Dienste wie virustotal.com die hochgeladene Dateien mit über 50 Scannern analysieren wesentlich nützlicher.

Linux-Virenscanner werden z.B. auch auf Firewall-Applicances eingesetzt um Netzwerke gleich am Eingang vor Schadsoftware zu schützen. Solche Applicances scannen den http-Verkehr (also Webseiten) sowie den E-Mail-Verkehr und können so manche Schadsoftware schon frühzeitig vom Netzwerk fernhalten - sofern der Datenverkehr die Firewall nicht verschlüsselt passiert also per https-Protokoll oder transportverschlüsselten E-Mail-Verbindungen.

Schadsoftware für Linux

Für Linux selbst gibt es keine nennenswerte Schadsoftware. Das gilt ins besondere für Desktop-Linux also Distributionen wie Fedora, Suse, Ubuntu, Mint usw., die auf Computern und Notebooks als Arbeitstationen eingesetzt werden.

Ich selbst nutzte seit 2011 fast ausschliesslich Linux auf meinen Computern. Schon lange davor verfolgte ich sehr genau die Berichterstattaung zu Schadsoftware für Linux.

Immer mal wieder tauchen Informationen über Linux-Schadsoftware auf. Es gab schon 2001 einen Wurm namens Kork, der alte Versionen des lpf-Daemons angriff, 2002 folgte der Wurm Slapper, der Linux Server befiel, oder genauer gesagt, Apache-Server. Es ist also nicht so dass es keinerlei Schadsoftware für Linux gibt ider gar geben könnte. Aber es gibt Gründe dafür dass es keine Schadsoftware-Epidemie gibt, so wie es sie für Windows gibt.

Auf Desktop-Linux-Systemen laufen normalerweise keine Serverdienste. Angriffe auf solche Dienste sind also keine Gefahr für normale Anwender. Und normale Anwender verwenden Linux in aller Regel nicht mit Root-Privilegen, also vollem administrativen Zugriff - ganz im Gegensatz zu Windows wo der Benutzer mit eingeschränkten Privilegen äusserst selten sind.

Linux bietet Schadsoftware also wenig Arbeitsfläche. Dazu kommt dass eventuelle Lücken regelmässig und schnell gestopft werden. Praktisch sämtliche bekannt gewordenen erfolgreichen Infektionen von Linux-Servern mit Schadsoftware nutzten Lücken in alter Software die schon längst hätte aktualisiert werden können. Die eigentliche Sicherheitslücke ist in einem solchen Fall der Administrator.

Ein weiteres Problem für Schadsoftware-Autoren ist die Schwierigkeit der blinden Verteilung von Linux-Schadsoftware. In letzter Zeit sind einige Trojanerbaukästen aufgetaucht, die von sich behaupten, auch Linux-Systeme angreifen zu können. Das gilt zum Beispiel für den Bankingtrojaner Hand Of Thief, der allerdings gar keine Sicherheitslücke des Systems ausnutzt, sondern vom Anwender mehr oder weniger bewusst installiert werden muss – und auch dann nicht zuverlässig funktioniert.

Während man E-Mails mit einer Schadsoftware im Anhang an Millionen von Windows-Benutzern senden kann und sich recht sicher sein kann, einen gewissen Prozentsatz zu erwischen, ist diese Wahrscheinlichkeit bei Linux als Ziel gering. Die meisten wichtigen Sicherheitslücken in Windows gelten für alle oder wenigstens die meisten Versionen von Windows 95 bis 10 (und sicher auch Redstone), da sich unter der Haube offensichtlich nur sehr wenig von Version zu Version ändert. Bei Linux läuft die Entwicklung wesentlich rasanter ab, darüber hinaus ist der Kernel konfigurierbar. Es gibt also sehr viel weniger Monokultur unter Linux, die Systeme sind oft sehr unterschiedlich. Die Zielgruppe ist einfach zu klein für eine erfolgreiche automatisierte Epidemie.

Man braucht sich nur kommerzielle und nicht quelloffene Software für Linux anzusehen, um zu verstehen, wie verhältnismässig schwierig es ist, ein Programm für Linux in binärer, also kompilierter, direkt lauffähiger Form anzubieten. Kaum ein Anbieter kommerzieller geschlossener Programme bietet sein Programm für mehr als eine oder zwei Distributionen mit Laufgarantie an – wenn überhaupt. Da weder die Ersteller der Distribution noch die Anwender den Code selbst kompilieren können, ist es durchaus möglich, dass ein solches Programm auf einer anderen Distribution nicht funktioniert. Gleiches gilt für etwaige Schadsoftware. Und da Schadsoftware möglichst klein sein sollte, kann man etwaige Abhängigkeiten auch nicht immer einkompilieren.

Zu guter Letzt ist noch ein Faktor ganz wichtig: Ein Anwender müsste unter Linux eine Schadsoftware, die ihm gesendet wird, erst einmal ausführbar machen. Übers Netz transportierte Skripte und Programme sind nämlich grundsätzlich erst einmal nicht ausführbar, das Ausführungsbit kann nicht gesetzt sein. Ein Anwender, der ein unbekanntes, unverlangt zugesendetes Programm selbst ausführbar macht, ist sein Unglück selber Schuld.

Wie Virenscanner arbeiten

Man sollte sich noch vor Augen halten, wie Virenscanner arbeiten. Sie haben drei grundlegende Techniken, um Schadsoftware zu erkennen: Signaturerkennung, Heuristik und Verhaltensanalyse.

Die Signaturerkennung benutzt eine Art Fingerabdruck der Schadsoftware. Sie führt durch die Vielzahl sich ständig verändernder Windows-Schadsoftware dazu, dass Virenscanner riesige Signatur-Datenbanken mitbringen, die auch noch ständig mit neuen Signaturen erweitert werden. Diese Datenbanken und der Zugriff darauf sind extreme Ressourcenfresser. Nicht selten sind Windows-Systeme mit funktionierenden Virenscannern daher langsamer als infizierte Systeme ohne Scanner – der Virenscanner ist heutzutage eine spürbarere Belastung als eine Schadsoftware, wenn man nur die Systemfunktionalität betrachtet.

Wer also einen Virenscanner für Linux installiert, installiert diese Belastung gleich mit: Millionen von Signaturen für Windowsviren und bestenfalls nur eine Handvoll von Signaturen für Linux-Schadsoftware, die es gar nicht zur Verbreitung geschafft hat.

Die Heuristik untersucht Dateien auf typische Elemente und Funktionen von Schadsoftware. Dabei gibt es keine Hinweise darauf, dass auch linuxspezifische Funktionen berücksichtigt werden. Die Verhaltenserkennung wiederum überwacht das Verhalten von Programmen während und nach der Installation. Auch hier ist nicht sicher, dass Vorgänge unter Linux überhaupt überwacht werden. Es ist meines Erachtens nicht einmal möglich, „illegale Verhaltensweisen“ zu definieren, vor allem nicht über Distributionsgrenzen hinweg.

Solche Virenscanner, wenn sie tatsächlich Echtzeitscans ausführen, also ständig alles überwachen, was geschieht, rauben also im besten Fall Systemleistung für den extrem unwahrscheinlichen Fall, dass tatsächlich lauffähiger Linux-Schadcode das System erreicht. Ob er dieses Opfer bringen will, muss jeder Anwender für sich selbst entscheiden.

Eine tatsächliche "Infektion"

Der Vollständigkeit halber sollte die einzige tatsächliche Schadsoftware-Infektion eines Anwender-Linuxsystems nicht unerwähnt bleiben, die in meinem 4 Jahren mit Linux aus erster Hand gesehen habe. Einem mir persönlichen bekannten Anwender ist es 2014 tatsächlich auf nicht näher bestimmbare Weise gelungen seinen Firefox-Browser in Mint mit einem sogenannten Potentiell Unerwünschten Programm zu infizieren, das Webseiten mit Werbung anreichten. Aber im Gegensatz dazu, wie solche Programme sich in Windows Systeme eingraben können, war die Entfernung unter Linux geradezu trivial: Add-On deinstallieren, fertig.

Dieses Beispiel zeigt, dass es durchaus Schadsoftware geben kann, die Anwenderprogramme angreift, ohne das System selbst berühren zu müssen. Der Browser ist dafür ein guter Kandidat, ebenso z.B. Libre Office, das Dokumente mit Schadsoftware-Makros öffnen könnte. Trotzdem reicht meines Erachtens hier umsichtiges Verhalten und ein Mindestmass an Verstand und Lernfähigkeit seitens der Anwender aus, um echten Schaden zu verhindern. Antivirusscanner für Linux sind nach wie vor unnötig.