AVG sammelt mit seinem Virenscanner personenbezogene Daten, zwar „nur“ anhand einer  Advertising-ID, aber dadurch natürlich trotzdem eindeutig zuordenbar. Zu den Daten gehören nicht nur Informationen wie und wann der Virenscanner angeworfen wird und ob und welche Viren gefunden werden. Nein, zu den von AVG gesammelten pseudo-anonymisierten Daten gehört der Verlauf der von euch per Browser besuchten Webseiten, die Suchhistorie, sowie Details zu den auf dem Gerät installierten Programmen und wie sie genutzt werden.

„Wir erfassen nicht personenbezogene Daten, um aus unseren kostenlosen Angeboten Geld zu verdienen, damit sie kostenlos bleiben, einschließlich:

• Mit Ihrem Gerät verbundene Werbe-ID;
• Browser- und Suchverlauf, einschließlich Messdaten; (Anmerkung von mir: AVG meint damit Metadaten)
• Internetdienstanbieter oder Mobilfunknetz, das Sie für die Verbindung zu unseren Produkten verwenden, und
• Daten zu anderen Anwendungen, die Sie auf Ihrem Gerät haben, und wie sie genutzt werden.

Browser- und Suchverlauf enthalten manchmal Begriffe, durch die Sie ggf. identifiziert werden können. Wenn wir darauf aufmerksam werden, dass ein Teil Ihres Börsenverlaufs Sie ggf. identifizieren könnte, behandeln wir diesen Teil des Verlaufs als personenbezogene Daten und anonymisieren diese Daten.“

Man kann natürlich damit argumentieren, dass der Browserverlauf und Informationen zu den auf den Geräten installierten Anwendungen benötigt werden, um Angriffsvektoren von Malware zu analysieren und Webseiten zu identifizieren, die als Malware-Schleuder dienen. Doch der Preis ist in meinen Augen deutlich zu hoch: Besonders für Snakeoil. Also liebe Linux-User: Solange ihr keinen File- oder Mailserver betreibt, der die dort gespeicherten Daten nach Windows-Malware durchsucht, braucht ihr unter Linux definitiv keinen Virenscanner.

Virenscanner für Linux sind in der Regel für Server-Systeme gedacht, die auf Mail- und Fileservern nach infizierten Dateien und Attachments suchen sollen. Sie verrichten ihre Arbeit daher in der Regel im Hintergrund, ohne dass permanent ein Fensterchen mit bunt blinkenden Lichtern den Bedrohungsstatus signalisiert. Auch Sophos Anti-Virus for Linux Basic verzichtet auf großes Tohuwabohu. Die Anwendung besteht aus einem Dienst und einem Satz Werkzeugen für das Terminal. Optisches Feedback gibt es nur, wenn Sophos etwas auf der Festplatte findet oder ihr im Begriff seid, eine mit einem Virus infizierte auf die Festplatte zu schreiben.

Sophos Anti-Virus for Linux Basic installieren

Sophos Anti-Virus for Linux bekommt ihr von der Sophos-Homepage kostenlos im Austausch gegen eure E-Mail-Adresse zum Herunterladen angeboten. Der Download des Installationspakets sav-linux-free-9.9.tgz schlägt mit über stolzen 400 MByte zu Buche — schlank sind Antiviren-Apps auch unter Linux nicht. Zur Installation der Anwendung müsst ihr das Archiv lediglich entpacken und dann die text-basierte Installationsroutine mit Root-Rechten ausführen. Ein DEB- oder RPM-Paket für eine saubere Installation über die Paketverwaltung eures Linux-Systems gibt es bisher noch nicht, dafür müsste das Programm aber auch so gut wie mit jedem Linux funktionieren.

$ tar -xzf sav-linux-free-9.9.tgz
$ sudo sophos-av/install.sh

Der Installationsassistent möchte von euch wissen, ob Sophos im Hintergrund nach Schadprogrammen suchen soll, wohin er die Dateien installieren soll und ob ihr die „Free-Version“ ohne Support möchtet. Im Normalfall könnt ihr einfach mit [Eingabe] jede Frage mit der Vorgabe beantworten. Am Ende generiert der Installer bei Bedarf noch ein zu eurem Kernel passendes Kernelmodul, das als Schnittstelle zwischen Antivirenscanner und Linux-System dient. Im Normalfall sollte die Installation ohne Probleme durchlaufen, ich habe sie unter Ubuntu 14.04, Ubuntu 14.10 und Arch in einer virtuellen Maschine getestet.

Nach der Installation von Sophos Anti-Virus for Linux ist der Antivirenscanner gleich im Hintergrund aktiv. Den Status könnt ihr mit savdstatus oder mit den üblichen Init-Skripten auf Aktivität überprüfen und auch stoppen und bei Bedarf wieder starten. Dass Sophos für Linux auch wirklich funktioniert, könnt ihr zum Beispiel mit der Eicar-Test-Datei prüfen. Schreibt den auf der Seite genannten String einfach mit einem beliebigen Editor auf die Festplatte, Sophos wird den Schreibzugriff stoppen und euch auf die infizierte Datei hinweisen.

### Status abfragen
$ /opt/sophos-av/bin/savdstatus
Sophos Anti-Virus is active
$ service sav-protect status
sav-protect start/running, process 5370
### Sophos On-access scanning stoppen
$ sudo service sav-protect stop
### Sophos On-access scanning starten
$ sudo service sav-protect start

Eine grafische Oberfläche bietet Sophos Anti-Virus for Linux ansonsten nicht. Habt ihr den den On-access-Scanner aktiviert, dann arbeitet Sophos unauffällig im Hintergrund. Möchtet ihr gezielt Dateien oder Ordner scannen, dann müsst ihr dafür ein Terminal öffnen und den Befehl savscan aufrufen. Als Parameter gebt ihr dem Kommando entweder eine Datei oder ein Verzeichnis mit, das Sophos dann rekursiv nach mit Schadsoftware infizierten Programmen und Dateien durchsucht. Eine ausführliche Hilfe bekommt ihr über die Man-Page des Programms, allerdings nur in englischer Sprache.

### Hilfe zum Virenscanner
$ man savscan
### Homeverzeichnis bei Bedarf scannen
$ savscan /home
SAVScan Virenerkennungsdienstprogramm
Version 5.12.0 [Linux/AMD64]
Version Virendaten 5.13, März 2015
Enthält die Erkennung von 8899461 Viren, Trojanern und Würmern
Copyright (c) 1989-2015 Sophos Limited. Alle Rechte vorbehalten.

Systemzeit 22:30:55, Systemdatum 11. April 2015

Normale Überprüfung

2243 Dateien überprüft in 40 Sekunden.
Es wurden keine Viren gefunden.
Ende von Scan.

Auf der einen Seite macht Sophos in meinen Augen einiges richtig: Sophos Antivirus Basic für Linux arbeitet unauffällig im Hintergrund und warnt den Anwender nur bei Bedarf. Den üblichen Snakeoil-Firlefanz spart sich Sophos unter Linux. Das Programm belegt allerdings mehr als 600 MByte auf der Festplatte und nimmt sich auch einen kräftigen Schluck aus dem Arbeitspeicher. Gleich zwei Prozesse genehmigen sich mehr als 300 MByte RAM. Nur bei der Last konnte ich keine große Veränderung spüren, im Leerlauf hält sich Sophos angenehm zurück und beim Schreiben von Dateien steigt die Last nicht spürbar an.

Nun bleibt eigentlich nur noch die Frage, ob man sich denn Sophos Antivirus Basic für Linux installieren sollte — Linux-Einsteigern kribbelt es mit Sicherheit schon in ihren Fingern. Sophos macht auf der Homepage des Produkts zum Glück keine großen Versprechungen: Das Programm sucht lediglich nach Schadprogrammen, die es auf Windows-Rechner, Macs und Android-Smartphones und Tablets abgesehen hat.

Weiterhin keine Linux-Viren in Sicht

Über Malware für Linux verliert Sophos kein Wort — Nach wie vor warte ich noch auf jederzeit losbrechende Virenwelle für Linux. Der Virenscanner richtet sich also weiterhin eher an diejenigen, die einen File-Server absichern möchten und nicht für Linux-Anwender, die Angst um ihr System haben oder Nutzer, die viel mit Malware-Schleudern wie MS-Office-Dokumenten zu tun haben.

The Sophos Antivirus engine effectively detects and cleans viruses, Trojans, and other malware. In addition to sophisticated detection-based on advanced heuristics, Sophos Antivirus for Linux uses Live Protection to look up suspicious files in real time via SophosLabs. To prevent the Linux machine from becoming a distribution point, Sophos Antivirus for Linux also detects, blocks, and removes Windows, Mac, and Android malware.

Wer mehr Informationen zu Sophos Antivirus Basic für Linux sucht, der schaut entweder auf der Homepage des Anbieterss vorbei oder besucht das eigens für die Linux-Version eingerichtet Forum der Linux-Version — ihr wärt allerdings die ersten, die dort etwas schreiben. Es gibt auch einen etwas ausführlicheren Startup-Guide im PDF-Format, in dem mehr zu den Kommandos und Optionen von Sophos-Antivirus zu finden ist. Die FAQ zu Sophos Antivirus Basic für Linux ist allerdings noch sehr spärlich bestückt.