Antiviren-Software:
Schutz oder Illusion?
Was die Industrie als unverzichtbares Sicherheitsnetz verkauft, ist bei genauerer Betrachtung oft überflüssig – und stellt in manchen Fällen selbst eine erhebliche Gefahr für Privatsphäre und Datensicherheit dar. Ein kritischer Blick auf Antiviren-Software für Anwender von VollaOS, Linux und Windows.
01 Was Antiviren-Software eigentlich tut – und was nicht
Das Versprechen von Antiviren-Software klingt simpel: Sie erkennt Schadcode und verhindert Infektionen. Doch wie genau funktioniert das – und wie zuverlässig ist es wirklich?
Signaturbasierte Erkennung: Die bekannte Schwäche
Der Kern klassischer AV-Software ist die Signatur-Datenbank: eine ständig aktualisierte Liste bekannter Schadprogramme, identifiziert durch charakteristische Byte-Muster. Dagegen sind modernere Schädlinge – sogenannte Zero-Day-Exploits oder polymorphe Malware – per Definition nicht in der Datenbank. Die AV-Software erkennt sie also gar nicht.
Heuristik und Verhaltensanalyse: Teuer und fehleranfällig
Neuere Ansätze analysieren das Verhalten von Programmen in Echtzeit oder in virtuellen Sandboxes. Das klingt mächtiger – führt aber zu False Positives (harmlose Software wird blockiert) und False Negatives (echte Malware wird übersehen). Außerdem benötigt Echtzeit-Analyse dauerhaft privilegierten Zugriff auf das gesamte System.
02 VollaOS & degoogled Android: AV ist hier überflüssig
Nutzerinnen und Nutzer von VollaOS oder ähnlichen degoogled Android-Derivaten (z. B. GrapheneOS, CalyxOS) haben ein besonderes Sicherheitsprofil – und sollten Antiviren-Apps besonders kritisch betrachten.
Androids Sicherheitsarchitektur: Sandboxing by Design
Android isoliert jede App in einer eigenen Sandbox mit eigenem Linux-User-ID. Ohne explizite Benutzerfreigabe kann eine App weder auf Daten anderer Apps zugreifen noch Systemfunktionen nutzen. Die Grundarchitektur ist damit bereits deutlich sicherer als klassische Desktop-Betriebssysteme.
Degoogled: Kleiner Angriffsvektore, kein Play Store Tracking
Auf VollaOS entfallen Google Play Services, Google Play Store und das gesamte Google-Tracking-Ökosystem. Das reduziert die Angriffsfläche erheblich. Apps werden üblicherweise aus F-Droid (ausschließlich Open-Source-Software), über AuroraStore Client oder per .apk sideloading bezogen – von Quellen, die der Nutzer bewusst auswählt.
- Kein Google Play Store (nur AuroraStore Client zum bewussten bezug von Apps des GooglePlayStore) → reduzierter Verbreitungsweg für Android-Malware
- F-Droid-Apps sind Open Source und community-geprüft → geringes Infektionsrisiko
- Androids Sandboxing verhindert, dass AV-Apps überhaupt tiefen Systemzugriff bekommen
- Eine AV-App, die tief genug scannt um wirksam zu sein, benötigt Root – was selbst ein Sicherheitsrisiko ist
- VollaOS-Nutzer sind bewusste Anwender mit hoher Medienkompetenz – der Mensch ist die beste Firewall
Das Paradox: AV-Apps fordern mehr Rechte als sie absichern
Um effektiv zu scannen, benötigen AV-Apps auf Android umfangreiche Berechtigungen: Zugriff auf den Dateispeicher, laufende Prozesse, Netzwerkverkehr. Damit wird die AV-App selbst zu einer App, der man vollständig vertrauen muss – einem weiteren Angriffsziel. Wer VollaOS nutzt, um Google-Abhängigkeiten zu entfernen, sollte sich gut überlegen, ob er sie durch einen kommerziellen AV-Anbieter ersetzt.
03 Linux Desktop: Durchdachtes Berechtigungsmodell
Auf dem Linux-Desktop ist die Situation ähnlich klar. Das Unix-Rechtemodell – Benutzer, Gruppen, root-Trennung – verhindert, dass Schadcode ohne explizite Interaktion Systemrechte erlangt.
Warum Malware auf Linux Desktop selten ist
Linux-Malware existiert, ist aber auf Desktop-Systemen ein Randphänomen. Gründe: geringer Marktanteil (weniger attraktives Ziel), bewusstere Nutzer, kein zentrales „App-Store“-Äquivalent für Adware, und ein Paketmanager-System mit signierten Repositories. Software kommt nicht aus dubiosen Quellen, sondern aus vertrauenswürdigen Paketquellen der Distribution.
ClamAV: Das einzige sinnvolle Szenario
Der einzig legitime Anwendungsfall für eine AV-Software wie ClamAV auf Linux ist das Scannen von Dateien für Windows-Systeme – etwa auf einem Mailserver oder NAS. Für den eigenen Linux-Desktop bringt ClamAV nahezu keinen Mehrwert.
sudo bewusst einsetzen, Firewall konfigurieren (ufw oder nftables), regelmäßige Updates – das ist echter Schutz. Kein AV nötig.
04 Windows: Defender reicht – und ist schon da
Windows ist das primäre Ziel von Malware-Autoren weltweit. Hier ist die Diskussion differenzierter – aber das Ergebnis ist für die meisten Nutzer dasselbe.
Microsoft Defender: Vom Witz zum Industriestandard
Noch vor einem Jahrzehnt war Windows Defender eine Lachnummer. Das hat sich fundamental geändert. In unabhängigen Tests von AV-TEST und AV-Comparatives erzielt Defender heute Erkennungsraten von 99–100 % bei bekannter Malware und ist tief in Windows integriert – ohne die Stabilitäts- und Datenschutzprobleme Drittanbieter-Software.
| Kriterium | Microsoft Defender | Typische Drittanbieter-AV |
|---|---|---|
| Erkennungsrate (bekannte Malware) | ~99–100 % | ~99–100 % |
| Zero-Day-Schutz | Moderat | Moderat (vergleichbar) |
| Systemperformance-Impact | Gering | Oft erheblich |
| Datenweitergabe an Anbieter | Microsoft-Telemetrie | Teils umfangreich, intransparent |
| Angriffsfläche | Systemintegriert | Zusätzlicher privilegierter Prozess |
| Kosten | Kostenlos, inklusive | Oft Abo-Modell |
Fazit für Windows: Für den Heimanwender ist Microsoft Defender in Kombination mit aktuellen Updates, einem modernen Browser und gesundem Menschenverstand vollkommen ausreichend. Drittanbieter-AV bietet keinen messbaren Mehrwert – dafür aber messbare Nachteile.
05 Das eigentliche Problem: AV als Datenkrake
Hier beginnt die wirklich unbequeme Wahrheit. Kommerzielle Antiviren-Anbieter sind Unternehmen – und Unternehmen brauchen Geschäftsmodelle.
Was AV-Software alles „sieht“
Eine AV-Software mit Echtzeit-Schutz muss, um ihren Job zu tun, jeden Dateizugriff, jede Netzwerkverbindung und jeden ausgeführten Prozess überwachen. Das bedeutet: Sie sieht prinzipiell alles, was auf dem System passiert. Browser-Verlauf, geöffnete Dokumente, E-Mail-Anhänge, Passwörter in Klartextformularen – zumindest theoretisch.
Dokumentierte Fälle: Avast/AVG
2020 wurde bekannt, dass Avast und seine Tochtermarke AVG über eine Tochtergesellschaft namens Jumpshot detaillierte Browser-Aktivitätsdaten von Millionen Nutzern an Werbetreibende verkauft hatten – darunter Einzelhändler, Google und Microsoft. Die Daten waren zwar pseudonymisiert, aber laut Berichten von Vice und PCMag dennoch auf Einzelpersonen rückführbar. Avast stellte Jumpshot nach dem Skandal ein, aber der Schaden – und das Vertrauensproblem – blieb.
Telemetrie als Standardzustand
Praktisch alle kommerziellen AV-Produkte erheben Telemetriedaten: welche Dateien gescannt wurden, welche URLs besucht wurden, welche Programme installiert sind. Das dient angeblich der Verbesserung der Erkennung. Ob und welche Daten tatsächlich den Anbieter-Server verlassen, ist für den Nutzer in der Regel nicht transparent nachprüfbar.
- Avast/Jumpshot (2020): Verkauf von Browser-Profildaten an Werbetreibende
- Kaspersky: Geheimdienstliche Verbindungen, US-Behörden haben Einsatz verboten (2017/2024)
- Norton 360: Integrierter Kryptowährungs-Miner – auf Kundensystemen
- Diverse „kostenlose“ AV-Tools: Adware-Bundling, Browser-Hijacking als Installationsstandard
- AV-Software als Man-in-the-Middle bei HTTPS: TLS-Interception mit eigenem Root-Zertifikat
06 Wenn der Schutz selbst zur Angriffsfläche wird
Ein technisch oft übersehener Aspekt: AV-Software läuft mit den höchsten Systemrechten, verarbeitet aktiv bösartigen Code und ist damit selbst ein bevorzugtes Angriffsziel für Exploit-Kits.
TLS-Interception: Das HTTPS-Problem
Viele AV-Produkte installieren ihr eigenes Root-Zertifikat und schleusen sich als Man-in-the-Middle in verschlüsselte HTTPS-Verbindungen ein, um auch dort nach Malware zu suchen. Das klingt clever – ist aber ein gravierendes Sicherheitsproblem: Die AV-Software bricht damit die End-to-End-Verschlüsselung auf. Google, Mozilla und Sicherheitsforscher haben mehrfach dokumentiert, dass diese Implementierungen häufig fehlerhaft sind und die TLS-Sicherheit de facto verschlechtern statt verbessern.
Bekannte Exploits gegen AV-Software selbst
Sicherheitsforscher wie Tavis Ormandy (Google Project Zero) haben über Jahre hinweg immer wieder kritische Schwachstellen direkt in AV-Produkten entdeckt – in Symantec, Kaspersky, Trend Micro, McAfee und anderen. Da AV-Software privilegiert läuft und aktiv Schadcode parst, ist eine Schwachstelle im Parser katastrophal: Ein präpariertes Dokument oder eine Datei kann das AV-Programm selbst kompromittieren – und damit das gesamte System.
07 Was wirklich schützt
Sicherheit entsteht nicht durch das Installieren von Zusatzsoftware, sondern durch ein durchdachtes Gesamtkonzept. Die wirksamsten Maßnahmen kosten nichts – oder sind bereits in jedem System vorhanden.
Für VollaOS / degoogled Android
- Apps ausschließlich aus F-Droid oder direkt aus vertrauenswürdigen Quellen (geprüfte APKs)
- Berechtigungen konsequent prüfen und auf das Minimum beschränken
- Netzwerk-Firewall-App nutzen (z. B. NetGuard) – blockiert unerwünschte Verbindungen per App
- DNS-over-HTTPS mit filteredns / AdGuard DNS konfigurieren
- Regelmäßige OS-Updates – der wichtigste Schutz überhaupt
- VPN nur wenn wirklich nötig und Anbieter vollständig vertraut
Für Linux Desktop
- Nur Software aus den offiziellen Repositories der Distribution installieren
- Flatpak mit Portals nutzen – Sandbox-Isolierung für Desktop-Apps
ufwaktivieren und eingehende Verbindungen standardmäßig blockieren- Regelmäßige Updates mit
apt upgrade/dnf upgrade - Kein Surfen als root – niemals
- Backups: Die wirksamste Gegenmaßnahme gegen Ransomware
Für Windows
- Microsoft Defender aktiv lassen – er ist gut genug
- Windows Update automatisch und zeitnah – keine aufgeschobenen Updates
- Standardbenutzer-Konto für den Alltag, Admin-Konto nur für Administration
- Browser-Extensions minimieren; uBlock Origin für Werbeblocker
- Makros in Office deaktivieren (primärer Angriffsvektor)
- Regelmäßige Backups – am besten extern und offline
08 Fazit
Für Anwender auf VollaOS oder degoogled Android ist Antiviren-Software überflüssig und kontraproduktiv: Das Betriebssystem ist sicher konzipiert, die Bedrohungslage gering, und jede AV-App schafft mehr Angriffsfläche als sie entfernt.
Auf Linux Desktop gilt dasselbe. Die Architektur schützt bereits. Wer sauber mit Paketquellen umgeht und Updates einspielt, braucht kein AV.
Auf Windows ist Microsoft Defender ausreichend – und der bereits vorinstalliert. Jede zusätzliche AV-Software bringt erhöhtes Datenschutzrisiko, potenzielle Stabilitätsprobleme und eine zusätzliche privilegierte Angriffsfläche ohne messbar besseren Schutz.
Was wirklich schützt: zeitnahe System-Updates, minimale Software-Installation aus vertrauenswürdigen Quellen, bewusster Umgang mit Berechtigungen und regelmäßige Backups. Kein Abonnement nötig.