{"id":32422,"date":"2025-07-23T15:22:17","date_gmt":"2025-07-23T13:22:17","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32422"},"modified":"2025-09-11T11:03:29","modified_gmt":"2025-09-11T09:03:29","slug":"defendnot-disables-microsoft-defender-on-windows","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/defendnot-disables-microsoft-defender-on-windows\/32422\/","title":{"rendered":"Schr\u00f6dingers Antivirus: Ist der Schutz tot oder lebendig?"},"content":{"rendered":"

Viele Unternehmen erlauben inzwischen Bring Your Own Device (BYOD)<\/a>\u00a0\u2013 eine Richtlinie, die Mitarbeitern gestattet, eigene Ger\u00e4te f\u00fcr gesch\u00e4ftliche Zwecke zu nutzen. Besonders verbreitet ist diese Praxis in Unternehmen, die Fernarbeit bevorzugen. Bei allen Vorteilen birgt die Implementierung von BYOD jedoch auch neue Risiken f\u00fcr die Cybersicherheit.<\/p>\n

IT-Sicherheitsabteilungen verlangen gew\u00f6hnlich, dass auf allen gesch\u00e4ftlich genutzten Ger\u00e4ten Sicherheitssoftware installiert wird. Anders w\u00e4re es kaum m\u00f6glich, Systeme vor Bedrohungen zu sch\u00fctzen. Doch gibt es immer wieder Mitarbeiter, die Antivirenprogramme nicht als Hilfe betrachten, sondern eher als Hindernis. Dies gilt insbesondere f\u00fcr einige Technikfreaks.<\/p>\n

Sicher nicht die vern\u00fcnftigste Einstellung, aber bekanntlich lassen sich nicht alle vom Gegenteil \u00fcberzeugen. Das Problem: Mitarbeiter, die es vermeintlich besser wissen, finden immer einen Weg, das System zu t\u00e4uschen. Heute untersuchen wir eine solche Methode: das neue Forschung-Tool Defendnot<\/a>, das Microsoft Defender auf Windows-Ger\u00e4ten deaktiviert, indem es eine gef\u00e4lschte Antivirensoftware registriert.<\/p>\n

no-defender<\/em> nutzt ein gef\u00e4lschtes Antivirenprogramm, um Microsoft Defender zu deaktivieren<\/h2>\n

Um zu verstehen, wie Defendnot den Microsoft Defender ausschaltet, m\u00fcssen wir die Uhr ein Jahr zur\u00fcckdrehen. Damals programmierte ein Forscher mit dem X-Account es3n1n<\/a> die erste Version des Tools und ver\u00f6ffentlichte es auf GitHub. Es hie\u00df no-defender<\/a> und hatte die Aufgabe, Windows Defender (das hauseigene Antivirenprogramm von Windows) zu deaktivieren.<\/p>\n

Zu diesem Zweck nutzte es3n1n eine Schwachstelle in der API des Windows-Sicherheitscenters (WSC) aus. Die Antivirensoftware nutzt eine Funktion, um dem Betriebssystem in Echtzeit mitzuteilen, dass sie installiert wurde und bereit ist, das Ger\u00e4t zu sch\u00fctzen. Aufgrund dieser Meldung deaktiviert Windows automatisch Microsoft Defender. Dadurch werden Konflikte vermieden, die bei mehreren gleichzeitig ausgef\u00fchrten Sicherheitsl\u00f6sungen auf einem Ger\u00e4t m\u00f6glich w\u00e4ren.<\/p>\n

Der Forscher nutzte den Code einer vorhandenen Sicherheitsl\u00f6sung und bastelte ein neues gef\u00e4lschtes Antivirenprogramm. Die F\u00e4lschung konnte sich im System registrieren und bestand alle Windows-\u00dcberpr\u00fcfungen. Nach der Deaktivierung von Microsoft Defender stand das Ger\u00e4t v\u00f6llig wehrlos da, da no-defender keinerlei Schutz bot.<\/p>\n

Das no-defender-Projekt hatte auf GitHub schnell eine echte Fangemeinde und sammelte \u00fcber 2.000 Sternchen. Das Antiviren-Entwicklerunternehmen, auf dessen Code no-defender beruhte, beschwerte sich allerdings wegen Versto\u00dfes gegen den Digital Millennium Copyright Act (DMCA)<\/a>. Darum musste es3n1n den Projektcode von GitHub entfernen, und es blieb nur eine Beschreibungsseite \u00fcbrig.<\/p>\n

Defendnot als Nachfolger von no-defender<\/h2>\n

Aber die Geschichte noch weiter. Etwa ein Jahr sp\u00e4ter hatte der neuseel\u00e4ndische Programmierer MrBruh<\/a> eine Idee: Er schlug es3n1n vor, eine Version von no-defender zu entwickeln, die ohne Code von Drittanbietern funktionierte. es3n1n nahm die Herausforderung an, schrieb innerhalb von vier schlaflosen N\u00e4chten ein neues Tool<\/a> und taufte es \u201eDefendnot\u201c.<\/p>\n

Das Herzst\u00fcck von Defendnot war eine DLL-Attrappe, die sich als legitimes Antivirenprogramm ausgab. Die WSC-API verwendet Protected Process Light (PPL), digitale Signaturen und andere Mechanismen. Um alle Pr\u00fcfungen zu umgehen, injiziert Defendnot seine DLL in die Taskmgr.exe, die signiert ist und von Microsoft als vertrauensw\u00fcrdig eingestuft wird. Anschlie\u00dfend registriert das Tool den gef\u00e4lschten Antivirus und veranlasst Microsoft Defender, sich zu gru\u00dflos zu verabschieden und das Ger\u00e4t ohne aktiven Schutz zur\u00fcckzulassen.<\/p>\n

Dar\u00fcber hinaus erlaubt Defendnot dem Nutzer, dem \u201eAntivirenprogramm\u201c einen beliebigen Namen zuzuweisen. \u00c4hnlich wie sein Vorg\u00e4nger wurde dieses Projekt auf GitHub zu einem Hit und hatte schon zu Beginn 2.100 Sternchen. F\u00fcr die Installation von Defendnot sind Administratorrechte notwendig (was aber auf privaten Ger\u00e4ten von Mitarbeitern kein Problem ist).<\/p>\n

So sch\u00fctzt du deine Unternehmensinfrastruktur vor BYOD-Missbrauch<\/h2>\n

Defendnot und no-defender werden als Experimente positioniert. Beide Tools manipulieren vertrauensw\u00fcrdige Systemmechanismen, um Schutzfunktionen zu deaktivieren. Die Schlussfolgerung ist klar: Man kann nicht allem vertrauen, was Windows sagt.<\/p>\n

Die digitale Infrastruktur deines Unternehmens muss so sicher wie m\u00f6glich sein. Darum unser Rat: Nimm zus\u00e4tzliche Sicherheitsma\u00dfnahmen in die BYOD-Richtlinie auf:<\/p>\n