Braucht Windows zusätzliche Security-Suiten?

Als gängigstes PC-Betriebssystem steht Microsoft Windows unter Dauerbeschuss: Wer eine Lücke findet oder ausnutzen kann, dem stehen vielfältige Möglichkeiten offen. Eine ganze Branche lebt davon, hier Abhilfe zu schaffen. Längst bieten die entsprechenden Anbieter aber nicht mehr nur "Anti-Virus"-Produkte, mit denen sie oft groß und bekannt geworden sind, sondern haben eine ganze Reihe weiterer Programme im Portfolio.

Aber auch Microsoft hat aufgerüstet. Das Unternehmen hat schon im März 2002 einen Geschäftsbereich Security eingerichtet, der sich im Rahmen der Initiative "Trustworthy Computing" auch um die Verbesserung der vorhandenen Produkte kümmerte. Daneben entwickelte der Softwarekrösus Strategien, wie sich das Angebot durch Zukäufe verbessern lässt. Ergebnisse dieser Arbeit waren 2003 die Übernahme des rumänischen Antivirenspezialisten GeCAD, 2004 der Kauf von Giant Software, trotz des großspurigen Namens ein nur zehnköpfiger Spezialist für Anti-Spyware-Produkte aus New York, und Anfang 2005 der Kauf von Sybari, eines Spezialisten für Anti-Virus-, Anti-Spam- und E-Mail-Filterlösungen für Unternehmen.

Einige Beobachter gingen damals davon aus, dass auf Grundlage der so erworbenen Technologien bald ein Antiviren-Tool mit integriertem Spyware-Schutz vorgestellt wird und ein erbitterter Wettbewerb mit den etablierten Drittherstellern einsetzt.

So schnell ging es dann doch nicht. Zwar kamen erste Tools noch 2005 in einer Beta-Version heraus, doch bis Microsoft seine zahlreichen Security-Bemühungen entsprechend koordiniert und über Zwischenstationen wie das "Security Essentials"-Angebot aber marktreife, praktikable und wettbewerbsfähige Produkte hatte, dauerte es noch über zehn Jahre. Bis dahin empfahlen Experten regelmäßig, für einen sicheren Windows-PC wenigstens kostenlose Viren-Scanner von Drittherstellern zu installieren, weil Windows Defender "nicht sehr zuverlässig" arbeite.

Mit technischen Tricks sturmreif geschossen

Erst ab etwa 2016 konnte das damals als Windows Defender bezeichnete Produkt allmählich ernst genommen werden. Damit fing der Ärger an. Aufgrund seiner dominierenden Stellung im Markt für PC-Betriebssysteme fürchtete Microsoft wahrscheinlich, dass eine direkte Kopplung von Security-Software und Betriebssystem bei Kartellwächtern nicht gerne gesehen wäre. Außerdem wollte der Konzern damals lediglich sein Tätigkeitsfeld erweitern, nicht aber ergänzende Sicherheitslösungen völlig ausschließen. Dennoch ärgerte er die Anbieter, die ihm dabei im Wege waren, mit allerlei technischen Schikanen.

Als erstem platzte schließlich Ende 2016 Eugene Kaspersky der Kragen. Der Chef des russischen Security-Anbieters machte seinem Unmut über das Verhalten Microsofts daraufhin in einem Blogbeitrag Luft. Viele der darin vorgebrachten Argumente hätten auch Mitbewerber so unterschrieben - auch wenn sie sich nicht öffentlich dazu äußerten. Jedenfalls beschwichtigte Rob Lefferts, damals Corporate Vice President für den Bereich Microsoft 365 Security, Mitte 2017 ebenfalls in einem Blog-Post die Anti-Virus-Anbieter und versicherte ihnen, wie wichtig Microsoft die Partnerschaft mit ihnen sei, um die Windows-10-Nutzer zu schützen.

Microsofts Kampfansage an die Security-Anbieter

Dreieinhalb Jahre später ist Microsoft noch ein Stück vorgerobbt und hat sein Security-Angebot rund um Windows 10 deutlich erweitert. Mitte Dezember 2020 erklärte Stratos Komotoglou, seit Juli 2020 Subsidiary Product Marketing Manager Security für die Themen Threat Protection, Identity & Access Management sowie Device & App Management bei Microsoft, während einer Presseveranstaltung des Konzerns zum Thema Security auf Nachfrage von ChannelPartner klipp und klar: "Wenn Sie Windows 10 nutzen und den Microsoft Defender einsetzen, brauchen Sie kein weiteres Anti-Viren-Schutzprogramm."

Das ist eine eindeutige und klare Kampfansage - die zudem deutlich im Widerspruch zum meisten steht, was von Microsoft bis 2017 zu dem Thema gesagt wurde. Ganz überraschend kommt sie aber nicht. Bereits mit der Umbenennung von Windows Defender in Microsoft Defender im Frühjahr 2019 deutete der Konzern an, dass er weitergehende Ambitionen hegt. Das liegt auch daran, dass er seinen in der Vergangenheit doch erheblichen, technologischen Abstand zum Wettbewerb in Kernbereichen deutlich verringert hat.

"In unseren Tests hat der Defender in den letzten Jahren stetig aufgeholt und sich jetzt einen Platz an der Spitze gesichert", bestätigt Andreas Marx, CEO von AV-Test, gegenüber ChannelPartner. "Ein 'aber' bleibt natürlich: Es handelt sich eben nur um ein reines Anti-Viren-Produkt. Weitere Sicherheitsfunktionen und andere dazugehörige Features gibt es eben nicht", schränkt der Experte für Tests von Security-Software ein. Dessen Untersuchungsergebnisse sind in der Branche anerkannt. Selbst Microsoft hatte sie in der Vergangenheit schon als Beleg für seine Fortschritte angeführt.

"Bei Privatanwendern fehlen somit Funktionen, die eine vollwertige Security-Suite mitbringt. Dazu zählen etwa VPN-Funktionen, ein Passwort-Manager, ein Kinderschutz oder die Abwehr von nervigen Spam- und Phishing-Mails. Viele externe Programme überwachen auch Social-Media-Konten und das Online-Banking-Modul, was der Defender so nicht mitbringt", nennt Marx Beispiele. Außerdem stimme die Aussage so auch für Unternehmenskunden nicht. Hier stelle Microsoft selbst erweitere Lösungen bereit, "mit denen sich die Systeme besser und umfangreicher schützen lassen, insbesondere vor strategischen Angriffen", erklärt Marx unter Verweis auf eine kürzlich von AV-Test veröffentlichte Erläuterung zu seinen aktualisierten Testverfahren.

Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure in der DACH-Region, schlägt in dieselbe Kerbe. "Keine Frage, der Windows Defender holt in Sachen Schutzwirkung auf. Das zeigen auch die letzten Tests von unabhängigen AV-Testorganisationen. Dennoch muss man diese Aussage mit sehr viel Vorsicht genießen. Denn Anti-Viren-Schutz bedeutet nicht gleich IT-Sicherheit, sondern ist lediglich ein kleiner Bestandteil der gesamten Sicherheitsstrategie, sowohl für Unternehmen also auch Privatanwender."

Bitdefender: Monokulturen nützen bei IT-Security niemandem

"Wir arbeiten eng mit Microsoft und vielen weiteren Partnern der Cybersicherheitsbranche zusammen, um Erkenntnisse, Best Practices und Informationen auszutauschen und möglichst viele Anwender schützen zu können", erklärt etwa Jens Nehmer, Distributions- und Channel-Manager DACH bei Bitdefender. "Dieses Zusammenspiel aus Kooperation und Wettbewerb zwischen den Anbietern von Cybersecurity ist im Wettlauf mit den Cyberkriminellen entscheidend. So können effiziente Sicherheitslösungen bereitgestellt werden, die den Kunden Auswahlmöglichkeiten bieten, während gleichzeitig die Kosten und die Komplexität für böswillige Akteure steigen."

F-Secure-Experte Rüdiger Trost hält es ebenfalls "nicht für ratsam, gerade die IT-Sicherheit einem einzigen Anbieter anzuvertrauen. Bereits jetzt steht Microsoft mit all seinen Produkten unangefochten auf Platz 1 der CVE-Datenbank (Common Vulnerabilities and Exposures) und auch im Visier von Hackern, die nur darauf warten, jene Sicherheitslücken auszunutzen. Mit der Bildung einer Monokultur wird das nicht unbedingt besser. Im Gegenteil, die gesamte Sicherheit wird dadurch sogar schlechter. Ziel sollte es also sein, die Risiken zu verteilen und nicht zu kanalisieren."

Trend Micro: "Microsoft tut sich damit selbst keinen Gefallen"

Trend Micro kommentiert Fähigkeiten anderer Hersteller prinzipiell nicht und macht daher auch keine Aussagen zur Microsoft-Lösung. Richard Werner, Business Consultant bei Trend Micro, geht jedoch davon aus, "dass sich Microsoft aus strategischer Sicht selbst keinen Gefallen damit tut, die Diversität der Sicherheit am Endpunkt bewusst zu vermindern. Security wird schließlich sicher nicht besser, wenn weniger Unternehmen an ihr mitarbeiten und forschen." Gerade Software mit hohem Verbreitungsgrad sei ein besonders beliebtes Angriffsziel für Cyberkriminelle. "Das beweisen nicht zuletzt zahlreiche Microsoft-Lösungen jeden Tag", so Werner weiter.

Eine Vielzahl an Anbietern und Anti-Virus-Systemen erschwere es Angreifern, sich auf einen Hersteller einzustellen. Sollte dem Cyber-Kriminellen eine groß angelegte Attacke aber gelingen, dann wäre sie aus Sicht von Eset-Manager Schröder "besonders dann problematisch, wenn der Hersteller des marktbeherrschenden Betriebssystems zugleich auch der markbeherrschende Anbieter von IT-Sicherheitslösungen wäre." Dass ein plattformübergreifender und mehrschichtiger Schutz nicht selbst Bestandteil der Technologie ist, die er schützen soll, findet übrigens auch Dominik Wasshuber, Sprecher von NortonLifeLock in Deutschland, wichtig.

Bullguard: Fehler gehen vom Betriebssystem auf die Security-Suite über

Bullguard weist zudem auf einige ganz konkrete Tücken hin, die sich durch die enge Integration von Sicherheitssoftware und Betriebssystem bereits ergeben haben - ob notgedrungen oder gewollt ist dabei unerheblich. "Als Microsoft Schwierigkeiten mit seinem Betriebssystem Windows 10 hatte, hatte dies auch Auswirkungen auf den Microsoft Defender. So wurden zum Beispiel Virenscans nicht vollständig und Updates nur unregelmäßig durchgeführt. Zudem werden Nutzer standardmäßig dazu gezwungen, die Microsoft-Browser Edge und Internet Explorer zu verwenden", so das Unternehmen.

Zwar biete Defender grundlegende Kindersicherungsfunktionen, aber wenn alternative Browser wie Chrome oder Firefox benutzt werden, funktionierten diese Browserfilter nicht mehr. In ähnlicher Weise blockiere der Microsoft Defender bei alternativen Browsern standardmäßig keine Phishing-Angriffe. Dass Microsoft versucht hat, diese Probleme mit einer Defender-Chrome-Erweiterung zu lösen, wissen viele Nutzer nicht, da sie davon ausgehen, dass der Microsoft Defender auch ohne Erweiterung mit jedem Browser funktioniert. "Dadurch sind diese Anwender aber gefährdet und haben nicht den Schutz, den sie eigentlich benötigen", warnt Bullguard.

IT-Security ist nicht nur der Windows-PC

"Wenn wir über den Schutz unseres digitalen Lebens sprechen, dann muss man ganzheitlich denken und unabhängig von einzelnen Technikplattformen handeln können", findet Dominik Wasshuber von NortonLifeLock. "Unser Alltag - beruflich wie privat - wird immer digitaler. Wir sind mit unterschiedlichen Geräten auf unterschiedlichen Technik-Plattformen fast ständig online: Smartphones, PCs und Laptops, Tablets oder auch Wearables gehören zu unserem Alltag. Digitales Leben findet überall statt und muss somit überall geschützt werden."

Ähnlich argumentiert auch Kaspersky. "Nutzer - insbesondere Unternehmen - benötigen auf allen Plattformen einen zusätzlichen Schutz, um sichergehen zu können, dass ihr Geld oder finanzielle Vermögenswerte, ihre Privatsphäre oder alle sensiblen Geschäfts- und Kundendaten sowie ihre Identität geschützt sind. Kostenlose Software bietet dabei nur Schutz vor den häufigsten Cyber-Bedrohungen."

Eset: Anti-Virus bietet nur Basisschutz

Eset-Manager Schröder geht näher auf die dafür erforderlichen Produkte ein: "Eine zuverlässige Anti-Viren-Lösung gehört als Basisschutz auf jeden Rechner. Es gibt eine Anzahl von kostenlosen Produkten, die genauso gut oder schlecht sind und lediglich einzelne Geräte schützen wie der Microsoft Defender." Allerdings fehlten ihnen wichtige Zusatzfunktionen, die im Internet-Alltag "extrem wichtig" sind, warnt Schröder: "Phishing- und-Spam-Schutz, gehärtete Browser für das Online-Banking, Netzwerksicherheit, Passwort-Manager oder Diebstahlschutz: All dies gehört einfach dazu, will man im Gefahrendschungel des World Wide Web nicht zum Opfer von Cyberkriminellen werden."

Sophos: Sicherheit als ganzheitliches System betrachten

Stärker auf Unternehmen bezogen argumentiert Michael Veit, IT-Security-Experte bei Sophos. "Heute muss Sicherheit ganzheitlich als System betrachtet werden, das heißt Sicherheitslösungen auf Endpoints, Servern, Mobilgeräten, im Firmennetzwerk und in der Cloud müssen miteinander kommunizieren und interagieren. Dadurch können zum einen Bedrohungen durch Korrelation von Ereignissen besser erkannt werden und zum anderen können deartig verknüpfte Systeme bei Bedrohungen automatisch reagieren."

Veit macht das an einem Beispiel deutlich: "Ein Antivirenprogramm schützt bildlich gesprochen die Vordertür des Unternehmens dagegen, dass ein Räuber diese Tür mit der Brechstange aufhebelt. Heute muss ein Unternehmen sich aber auch dagegen schützen, dass niemand durch die schwach gesicherte Hintertür oder das angelehnte Fenster hineinkommt - oder als Handwerker verkleidet vom Empfang einfach durchgelassen wird."

Kaspersky: Unternehmen haben umfangreichere Anforderungen

Gerade im Unternehmensumfeld kann sich Security zudem heute nicht mehr auf Antivirus am Endpunkt beschränken. "Unternehmen müssen vielmehr in der Lage sein, auch kleinste Anomalien in einzelnen Infrastruktursegmenten als zusammengehörige Teile eines Angriffs zu erkennen und entsprechende Gegenmaßnahmen einzuleiten (Detection & Response). Dies gilt übergreifend für alle Bereiche heutiger IT-Infrastrukturen, zu denen auch die Cloud und zunehmend auch (Industrial-) IoT-Systeme zählen", betont Trend Micro-Experte Werner.

Dieselbe Botschaft mit anderen Worten vermittelt Kaspersky: "Insbesondere Unternehmen sind mit einer sich ständig weiterentwickelnden Bedrohungslandschaft konfrontiert, die nicht nur generische Schadsoftware, sondern auch unbekannte und schwer zu greifende Bedrohungen sowie fortschrittliche APT-Angriffe und Malware-Kampagnen umfasst. Dies erfordert einen umfassenden Cybersicherheitsansatz, der eine robuste Endpoint-Sicherheitslösung in Kombination mit Bedrohungsinformationen aus Big-Data-Analysen und maschinellem Lernen umfasst". Zusätzlich empfiehlt der Hersteller Lösungen zur Betrugsprävention und Vorfallreaktion, Security-Trainings für alle Mitarbeiter sowie gegebenenfalls SOC-Services.

Unterstützt wird diese Sichtweise vom Bundesverband IT-Sicherheit e.V. (TeleTrust), der unter anderem die Cyber-Risikoversicherungen hinsichtlich der in Unternehmen zu treffenden Vorkehrungen berät. Er definiert Stand 2020 "Endpoint Detection and Response" (EDR) als Stand der Technik zum Schutz von Unternehmensrechnern. "Endpoint Detection and Response (EDR) beinhaltet neben den reinen Schutztechnologien, die mit Technologien wie Exploit- oder Ransomware-Schutz über die Abwehrmechanismen einer Anti-Virus-Lösung weot hinaus gehen, auch Methoden zur Erkennung von Hackeraktivitäten, wie die verdächtige Nutzung regulärer Systemwerkzeuge, und die Möglichkeit, Angriffe zu stoppen und Hacker aus dem Unternehmen auszusperren", beschreibt Sophos-Experte Veit die heutigen Vernetzungsmöglichkeiten.

Schließlich hapert es nach Auffassung von Eset-Sprecher Schröder bei Windows 10 und dem Microsoft Defender beim Einsatz in Firmen auch am fehlenden Management und dem fehlenden Schutz in hybriden Netzwerken. "Mac-, Linux- und Android-Geräte befinden sich quasi in jedem Netzwerk. Diese werden durch den Defender nicht geschützt", so Schröder.

IT-Security erfordert Spezialisierung

Als letztes und nicht neues Argument werfen die Hersteller schließlich in die Waagschale, dass IT-Security die volle Aufmerksamkeit erfordert und nicht nur wie bei Microsoft eine Nebenbeschäftigung sein darf. Einerseits hinkt das Argument etwas: Alleine der IT-Security-Bereich dürfte bei Microsoft inzwischen mehr Mitarbeiter beschäftigen als so mancher Spezialanbieter. Andererseits hat es natürlich durchaus seine Berechtigung: Spezialisten sind auf dem ausgesprochenen dynamischen Markt einfach deutlich flexibler - und brauchen zudem keine Rücksicht auf übergeordnete Konzerninteressen zu nehmen, die möglicherweise der einen oder anderen, aus Security-Sicht wünschenswerten Maßnahme entgegenstehen.

"Gerade der Kampf gegen Cyberkriminalität ist wie ein Katz- und Mausspiel, bei dem jede der Seiten - sei es Angreifer als auch Verteidiger - versucht, sich einen Vorsprung zu verschaffen", beschreibt Rüdiger Trost von F-Secure. "Dieses Spiel spielen wir jetzt mittlerweile seit über 30 Jahren, halten diesen Vorsprung aufrecht und stecken all die Erfahrung in unsere Services und Lösungen."

Für Eset-Manager Schröder bedeutet Spezialisierung die Ausrichtung auf ein umfassendes Schutzkonzept: "Neben dem Kerngeschäft Malware-Schutz wachsen bei uns die Bereiche Verschlüsselung, Zwei-Faktor-Authentifizierung, Endpoint Detection and Response (EDR) und Threat Intelligence sehr stark. Eset vertritt die Ansicht, dass diese Elemente zu jedem IT-Sicherheitskonzept im Sinne das Zero-Trust-Ansatzes gehören sollten. Die Zeiten sind vorbei, als herkömmliche Antivirenprodukte allein den modernen Gefahren durch Hacker und Cyberkriminelle trotzen konnten", so Schröder weiter.

Die Bedeutung eines Zero-Trust-Ansatzes hat übrigens auch Microsoft erkannt - sieht sich aber dafür auch dort gut positioniert. "Zero Trust geht davon aus, dass nichts sicher ist und man niemals nur einem Parameter (zum Beispiel nur Benutzername und Passwort) vertrauen darf." Vor allem beim Arbeiten im Homeoffice mit Fernzugriff sei dieser Ansatz sehr sinnvoll: "Bevor der Zugriff gewährt wird, muss eine Anforderung vollständig authentifiziert und autorisiert werden. Mikrosegmentierung und Zugriffe mit geringsten Rechten gehören zu den Grundfunktionen und verhindern die Ausbreitung von Angreifern im System. Hinzu kommen umfassende Analysen, um Anomalien in Echtzeit zu erkennen und abzuwehren" - alles Aspekte, die Microsoft seinen Kunden bei der Nutzung seiner Cloud-Lösungen zum Beispiel auch verspricht.

IT-Security wird zu einer Aufgabe für Fachleute

Richard Werner von Trend Micro weist zudem darauf hin, dass IT-Security nicht nur für die gerade aktuellen Produkte amgeboten werden muss: "Die Einhaltung von Security-Best-Practices ist oft nicht so einfach, wie es auf dem Papier manchmal scheinen mag. Aus diesem Grund bieten wir beispielsweise noch immer Technologien an, mit denen unsere Kunden auch nicht ablösbare Altsysteme in einer gemeinsamen Security-Architektur weiterhin sicher betreiben können." Zudem könne man andere Hersteller und weitere Infrastrukturebenen und -modelle, etwa IaaS, PaaS, etc. gleichberechtigt in die Architekturen einarbeiten und damit den administrativen Aufwand zum Betrieb einer Sicherheitslösung minimieren.

"Darüber hinaus sind wir überzeugt, dass Security zunehmend zu einer Aufgabe für Fachleute wird und arbeiten deshalb verstärkt an Konzepten für Managed-Service-Optionen für unsere Channel-Partner", erklärt Werner in Hinblick auf die eigenen Managed-Services-Offerten. Den Aspekt, dass die Angebote seines Unternehmens bereits MSP-ready sind, bringt auch Sophos-Sprecher Veit. Und er ergänzt: "Die größte Herausforderung für Unternehmen ist das Personal, das diese Technologien rund um die Uhr bedienen muss, um Angriffe zu erkennen und zu stoppen." Daher biete Sophos Unternehmen jeder Größe als Dienstleistung die Unterstützung durch menschliche Experten - ein Angebot, das auch Firmen wie G Data, Eset und andere immer stärker ausbauen, und in das sie ihre Vertriebspartner mit einbinden.

Somit stellt sich am Ende die Frage, ob die Gegenüberstellung der Schutzmaßnahmen von Microsoft gegen die Endpoint-Produkte der Dritthersteller pberhaupt noch zeitgemäß ist. Dass Microsoft hier aber aufgerüstet hat, ist unbestreitbar. Dass die Spezialisten in den diversen, seriösen Vergleichstests die Nase immer noch ein Stückchen weiter vorne haben, aber auch.

Aber während sich Microsoft weitgehend auf die Sicherung des Geräts und der Nutzeridentität konzentriert, treten diese Aspekte bei den Spezialisten immer weiter in den Hintergrund und werden selbstverständliches Beiwerk. Sie sind Voraussetzung für ein funktionierendes Gesamtkonzept - und werden daher zunehmend nicht mehr alleine, sondern als Bestandteil eines solchen verkauft. Daher kann in manchen Fällen der Microsoft Defender die richtige Wahl sein. In der Regel werden sich jedoch insbesondere in Unternehmen, aber auch bei vielen Privatpersonen, zahlreiche Argumente für die darüber hinausgehenden Schutzmaßnahmen finden lassen. Die Entscheidung fällt dann nicht mehr aufgrund des Virenschutzes.