Ein vollständiger Virenscan kam sauber zurück — beweist das, dass die Maschine nicht kompromittiert ist?
Kurzantwort
Nein. Antivirus ist ein Signal, kein Beweis. Es übersieht dateilose und im Speicher laufende Angriffe, brandneue oder verschleierte Proben, den Missbrauch legitimer Werkzeuge (Living-off-the-Land) und Rootkits, die sich davor verstecken. Fehlende Beweise sind kein Beweis für Abwesenheit — echte Sicherheit kommt aus EDR-Telemetrie, Speicherforensik, Verhaltensanalyse und IOC-Jagd. Einen sauberen Virenscan als Beweis für ein sauberes System zu behandeln, ist ein klassischer Incident-Response-Fehler.
Das beruhigende Wort „sauber“ leistet hier viel Arbeit. Menschen hören es als „als sicher verifiziert“, doch ein Virenscan beantwortet eine viel engere Frage: „Passte irgendeine Datei zu einem als bösartig bekannten Muster?“ Ein Nein ist keine Garantie — es ist das Fehlen einer bestimmten Art von Beweis.
Was Antivirus sehen kann und was nicht
Signaturbasierter und selbst heuristischer Antivirus ist grundlegend dafür gebaut, Dateien auf der Festplatte zu prüfen. Das macht ganze Kategorien moderner Angriffe strukturell schwer oder unmöglich erkennbar:
- Dateilos / im Speicher — bösartiger Code, der nur im RAM läuft (reflektive Loader, injizierter Shellcode), legt keine Datei zum Scannen ab.
- Neuartig oder Zero-Day — eine Probe ohne bestehende Signatur wird schlicht nicht erkannt.
- Verschleiert / gepackt — Neukompilieren oder Packen ändert den Hash und schlägt naives Abgleichen.
- Living-off-the-Land (LOLBins) — Missbrauch legitimer, signierter Werkzeuge wie PowerShell,
certutiloderwmic; es gibt keine bösartige Datei, nur bösartige Nutzung. - Rootkits / Kernel-Implantate — gerade dafür entworfen, sich vor dem Scanner zu verbergen, der die Frage stellt.
Fehlender Beweis ≠ Beweis für Abwesenheit
Das ist der erkenntnistheoretische Kernpunkt der Incident Response. Ein sauberer Scan sagt dir, dass der Antivirus nichts gefunden hat, was er zu finden weiß. Er kann nicht sagen, dass nichts da ist. „Keine Erkennung“ als „keine Kompromittierung“ zu behandeln ist genau, wie sich die Verweildauer auf Monate streckt — der Angreifer ist leise, weil er gut ist, nicht weil er weg ist.
Wie echte Sicherheit aussieht
Um das Vertrauen, dass ein Host sauber ist, wirklich zu erhöhen, schichtet man Signale, die Antivirus nicht liefern kann:
- EDR-Telemetrie — Prozessbäume, Befehlszeilen, Eltern-Kind-Anomalien, Netzwerkverbindungen.
- Speicherforensik — Erfassen und Analysieren des RAM auf injizierten Code und nicht hinterlegte ausführbare Regionen.
- Verhaltensanalyse und IOA-Abgleich — Verhalten erkennen statt bekannter Dateien.
- IOC- und Bedrohungsjagd — proaktive Suche nach bekannten Indikatoren und Anomalien über die ganze Flotte.
Die Erkenntnis für das Interview
Die starke Antwort nennt konkrete Ausweichtechniken (dateilos, LOLBins, Rootkits) und sagt, dass Sicherheit aus Verhaltenstelemetrie und Forensik kommt, nicht aus einem Signaturlauf. Einen Host allein per Antivirus für sauber zu erklären, ist ein Lehrbuchfehler in der Incident Response.
Wahrscheinliche Anschlussfragen
- Welche Angriffsklassen sind für signaturbasiertes Scannen strukturell unsichtbar?
- Welche Telemetrie würde dein Vertrauen erhöhen, dass ein Host tatsächlich sauber ist?
- Warum ist „fehlende Beweise sind kein Beweis für Abwesenheit“ zentral für die Incident Response?