Freeware, Open Source und unentgeltliche Cloud-Dienste Zahlt kostenlose Sicherheit sich wirklich aus?

Autor / Redakteur: Sorin Mustaca, (ISC)2-zertifizierter CSSLP / Stephan Augsten

Malware, Hacking-Attacken, Software-Schwachstellen: Ist es angesichts der ausufernden Bedrohungslandschaft überhaupt möglich, sich mit Security-Tools für lau umfassend abzusichern? In diesem Beitrag gehen wir dieser Frage auf den Grund.

Firmen zum Thema

Wer sein Augenmerk nur auf die Anschaffungskosten einer Sicherheitslösung richtet, zahlt oft an anderer Stelle.
Wer sein Augenmerk nur auf die Anschaffungskosten einer Sicherheitslösung richtet, zahlt oft an anderer Stelle.
(Bild: Archiv)

Als Sicherheitsexperten müssen wir uns immer wieder der Herausforderung von geringer werdenden Security-Budgets stellen. Wahrscheinlich liegt hier der Hauptgrund dafür, dass wir ständig der Versuchung erliegen, kostenlose Sicherheitstools auszuprobieren.

Viele IT-Nutzer und sogar Sicherheitsexperten denken, dass sie zum Nulltarif ein hohes Sicherheitsniveau erreichen können. Vor diesem Hintergrund denken die meisten allerdings nur an die Anschaffungskosten. Bei der Kostenanalyse werden Service, Support und Wartung, die für die Berechnung des Return On Investment (ROI) wichtig sind, leider oft ignoriert.

Doch ist es überhaupt möglich, alle möglichen Angriffsmethoden mit kostenlosen Sicherheitsprodukten abzudecken? Ich habe eine kurze Analyse der aktuellen IT-Risiken durchgeführt und geprüft, ob es (nach meinem Kenntnisstand) möglich ist, diese mit kostenlosen Tools zu verhindern.

Social-Engineering-Techniken habe ich dabei ausgelassen, da man dem Sicherheitsfaktor Mensch selten mit Tools begegnen kann. Andere sicherheitsrelevante Faktoren – wie fehlende Backups – bleiben ebenfalls außen vor, da sie nicht direkt mit bösartigen Angriffen in Verbindung stehen. Trotzdem gibt es natürlich etliche kostenlose Offline- und Online-Backup Programme.

Die Sicherheitslandschaft verändert sich kontinuierlich und man muss sich gegen die folgenden am weitesten verbreiteten Angriffsmethoden schützen:

  • 1. Malware, die auf USB-Sticks, Speicherkarten, externen Laufwerken und in heruntergeladenen Dateien lauert.
  • 2. Angriffe über das Netzwerk (Spoofing, DoS).
  • 3. Sicherheitslücken in Betriebssystemen und Software.
  • 4. Drive-by Downloads.
  • 5. Identitätsdiebstahl und Raub durch Phishing-Webseiten.
  • 6. Spam- und Phishing-Mails

Punktlösungen für das gesamte Gefahrenspektrum

An der Basis einer jeden Sicherheitsstrategie steht eine Lösung, die den PC in Echtzeit vor allen gängigen Malware-Arten schützt, die per Datei übertragen werden. Eine kostenlose Antivirus-Lösung erledigt diese Aufgabe ohne Probleme, sie wird mit der unter 1. aufgeführten Malware fertig.

Dieser grundlegende Schutz lässt sich nun mit einer Windows-Firewall oder anderen kostenlosen Firewalls erweitern. Auf diesem Weg fügen wir also eine zweite Schutzebene gegen Netzwerk-Angriffe hinzu, die uns unter Punkt 2 der aufgeführten Angriffe begegnen.

Lücken- und fehlerhafte Software, die uns an dritter Stelle der Liste begegnet, war in den vergangenen beiden Jahren einer der verbreitetsten Angriffswege. Es gibt eine ganze Reihe von guten und kostenlosen Tools, mit denen sich Software- und Betriebssystemschwachstellen auf dem PC aufspüren lassen. Einige patchen sogar das System, ohne dass es etwas kostet.

Den Bedrohungen unter den Punkten 4 und 5 etwas entgegenzusetzen, ist ebenfalls möglich. Es gibt eine Reihe von Tools (verfügbar als Toolbars oder Browser Plug-Ins), die besuchte Webseite filtert, bevor der PC des Nutzers durch diese infiziert wird. Dieser Schutz lässt sich mit kostenlosen DNS-Filtern weiter erhöhen. Trotz allem finden Angreifer aber immer noch Wege, Malware über eine Webseite unbemerkt auf den PC zu laden.

Gratislösungen, die E-Mails auf Spam, Phishing und bösartige Dateien filtern, finden sich ebenfalls im Internet. Sie sind als Plug-Ins für die herkömmlich verwendeten E-Mail-Lösungen, als transparente Proxies oder als gemanagte E-Mail-Services erhältlich.

Für Kosten scheut, zahlt oft an anderer Stelle

Alles in allem scheint es, als ließe sich der PC recht einfach schützen, ohne etwas dafür zu bezahlen. Auf den zweiten Blick gibt es jedoch versteckte Kosten, die von manchen ignoriert werden. Diese Kosten werden nicht bei der Anschaffung verursacht und sind oft alles andere als einfach zu finden.

Gratislösungen decken beispielsweise nicht alle Sicherheitsfunktionen ihrer kostenpflichtigen Vollversionen ab. Teilweise werden auch die Updates für mit einiger Verspätung angeboten. In anderen Fällen fungieren die Nutzer kostenloser Software als Tester, bis ein Produkt stabil läuft und verkauft werden kann. Dann wird aus dem PC eine Testumgebung für eine Lösung, die eigentlich selbst für Sicherheit sorgen sollte.

Manche Hersteller und unabhängige Entwickler finanzieren ihre kostenlosen Lösungen auch über Werbung. Viele Anwender akzeptieren das inzwischen, weil sie es von den kostenlosen Apps für mobile Geräte nicht anders kennen; andere stören sich hingegen immer noch daran.

Probleme bei Technik, Pflege und Support

Voneinander losgelöste Produkte benötigen in der Regel mehr Ressourcen, als wenn sie in einer Suite vereint wären. Darüber hinaus tauschen Komponenten, die individuelle Bereiche sichern, nur selten Informationen aus. Mit anderen Worten: ein Virenscanner weiß mitunter nicht, dass eine zu prüfende Datei von einer Webseite heruntergeladen wurde und potenziell gefährlich sein könnte. Fehlende Risikoinformationen führen schnell dazu, dass der PC infiziert werden kann.

Ein weiterer Aspekt betrifft die Wartung all dieser unabhängigen Lösungen, die ziemlich aufwändig und manchmal unglaublich komplex sein kann. So können beispielweise Sicherheits- oder Versions-Updates problematisch werden, wenn diese für jedes Produkt individuell durchgeführt werden müssen.

Manchmal gibt es keinen offiziellen Support oder es gibt keine Garantie, dass die Entwickler der Software bei der Behebung von Problemen helfen. Wenn Probleme oder Fragen auftreten, kann man dann nur in kostenlosen Foren nach ähnlichen Fehlermeldungen suchen.

Das heißt aber noch lange nicht, dass es auch schon eine Lösung für das Problem gibt. Im schlimmsten Fall muss die Frage in den einschlägigen Foren gepostet und auf Antworten von anderen Nutzern gewartet werden. Eine Problemlösung kann ebenfalls zeitaufwendig sein – und manchmal gar unmöglich zu implementieren, wenn einem das Know-how zu einer Technologie fehlt.

Im Übrigen muss man immer damit rechnen, dass eine kostenlose Software irgendwann nicht mehr unterstützt wird. Wer nichts zahlt, hat sie auch kein Recht auf ausführlichen Support oder irgendwelche Garantien.

Fazit

Als allgemeine Schlussfolgerung lässt sich feststellen, dass es möglich ist ein gewisses Sicherheitsniveau ohne Anschaffungskosten zu erreichen. Während dies im Privatbereich durchaus gangbar ist, lauern im Unternehmen oft Hindernisse und versteckte Kosten.

Im geschäftlichen Umfeld sollte man an einer Software interessiert sein, die für einen arbeitet und nicht andersherum. Hier empfiehlt sich die Investition in eine Sicherheitslösung, die alle relevanten Angriffsmethoden begegnet und eine gewisse Qualität in Sachen Service bietet.

Über den Autor

Sorin Mustaca ist als Produkt- und Projektmanager bei Avira tätig und wurde von (ISC)² als CSSLP zertifiziert.

(ID:40253250)