linux

Braucht man unter Linux ein Antivirenprogramm? Ehrlicher Leitfaden 2026

Q: F: Wie scanne ich ein Linux-System auf Malware?

A: Installieren Sie ClamAV und führen Sie sudo freshclam und dann clamscan -r auf dem zu prüfenden Verzeichnis aus. Für Rootkits führen Sie rkhunter --check und chkrootkit aus. Interpretieren Sie Warnungen sorgfältig — beide Werkzeuge erzeugen Fehlalarme — und wenn Sie wirklich eine tiefe Kompromittierung vermuten, scannen Sie die Festplatte von einem separaten vertrauenswürdigen Boot-Medium oder installieren Sie neu.

secure-os· Aktualisiert 26. Juni 2026· 7 Min. Lesezeit #linux#antivirus#malware#haertung#clamav

Bunte Quellcode-Zeilen auf einem dunklen Computerbildschirm

„Brauche ich unter Linux ein Antivirenprogramm?” ist eine der häufigsten Sicherheitsfragen von Linux-Nutzern — und die ehrliche Antwort lautet: Es hängt davon ab, was die Maschine tut, nicht allein vom Betriebssystem. Für einen typischen privaten Desktop bringt ein klassischer Virenscanner sehr wenig. Für einen Dateiserver, ein Mail-Gateway oder jedes System, das mit Windows-Rechnern zu tun hat, hat ein Antivirenprogramm eine echte und konkrete Aufgabe.

Dieser Leitfaden liefert die ehrliche Fassung: warum der Linux-Desktop vergleichsweise gering gefährdet ist, wo Antivirus wirklich zählt, die tatsächlich genutzten Open-Source-Werkzeuge und die mehrschichtigen Verteidigungen, die Sie weit besser schützen als ein Signaturscanner.

Er ergänzt unseren Leitfaden zur Linux-Härtung und unsere Erklärung, was Malware eigentlich ist.

Das echte Malware-Risiko unter Linux geht eher von nicht vertrauenswürdigen Paketen als von Viren aus — genau deshalb lohnt es sich zu wissen, ob die AUR sicher ist.

Die kurze Antwort

Für einen normalen Desktop-Nutzer brauchen Sie unter Linux mit ziemlicher Sicherheit kein dauerhaft residentes Antivirenprogramm. Die Gründe sind strukturell, nicht magisch:

Software kommt aus signierten Repositorien. Unter Linux installieren Sie über den Paketmanager Ihrer Distribution, wo Pakete kryptografisch signiert und geprüft sind. Sie laden selten zufällige .exe-Dateien aus dem offenen Web — der Haupt-Infektionsweg unter Consumer-Windows.
Rechtetrennung ist standardmäßig erzwungen. Ein Programm, das Sie als normaler Benutzer ausführen, kann das System nicht verändern, ohne über sudo zu Root zu eskalieren. Malware, die in Ihrem Home-Verzeichnis landet, kann Systembinärdateien nicht heimlich umschreiben.
Kleinere, technischere Nutzerbasis. Der geringe Marktanteil des Linux-Desktops macht ihn zu einem weniger attraktiven Ziel für die Massen-Malware, die Windows überschwemmt.
Drittanbieter-AV erkennt Linux-Desktop-Bedrohungen ohnehin schlecht. Die realistischen Desktop-Bedrohungen unter Linux heute — bösartige Browser-Erweiterungen, Phishing, Supply-Chain-Kompromittierung eines Pakets — sind weitgehend nicht das, was ein Signaturscanner erkennt.

Nichts davon bedeutet, dass Linux immun ist. Es bedeutet, dass die richtige Verteidigung für einen Desktop mehrschichtige Härtung und gute Gewohnheiten sind, nicht ein Virenscanner.

Ein Zahlenschloss mit geöffnetem Bügel, das auf einer Laptop-Tastatur liegt — Auf einem privaten Linux-Desktop kommt Ihr echter Schutz von Rechtetrennung, signierten Paket-Repositorien und guten Gewohnheiten — nicht von einem darübergelegten Virenscanner.

Wann Antivirus unter Linux wirklich zählt

Es gibt konkrete Situationen, in denen ein Antivirenprogramm auf einem Linux-System keine optionale Pflichtübung ist, sondern eine echte Anforderung:

Dateiserver und gemeinsamer Speicher. Ein Samba- oder NFS-Server kann Dateien speichern, die für Linux harmlos, für die Windows-Clients beim Herunterladen aber gefährlich sind. Das Scannen schützt die anderen Maschinen, nicht den Server selbst.
Mailserver und Gateways. Ein Linux-Mailserver verarbeitet routinemäßig auf Windows abzielende Anhänge. Das Scannen eingehender Mail am Gateway ist Standardpraxis — einer der ursprünglichen und größten Einsatzzwecke von ClamAV.
Webserver, die Uploads annehmen. Jeder Server, auf den Nutzer Dateien hochladen, sollte sie vor dem Speichern oder Ausliefern scannen.
Gemischte Unternehmensnetze. Ist eine Linux-Maschine ein Knoten, von dem Windows-Rechner Dateien beziehen, kann sie zum passiven Träger von Windows-Malware werden, auch wenn diese unter Linux nie ausgeführt wird.
Compliance. Manche Vorschriften und Audits verlangen schlicht die Anwesenheit eines Anti-Malware-Werkzeugs, unabhängig vom technischen Risikoprofil.

Der rote Faden: Unter Linux dient Antivirus meist dem Schutz anderer nachgelagerter Maschinen oder der Erfüllung einer externen Anforderung — nicht der Verteidigung des Linux-Desktops vor Ihnen.

Die echten Werkzeuge

Wenn Sie wirklich scannen müssen, sind dies die Open-Source-Werkzeuge, die die Arbeit tatsächlich erledigen. Keines ist ein schillerndes Consumer-Produkt, und genau das ist der Punkt.

Werkzeug	Funktion	Typischer Einsatz
ClamAV	Signaturbasierter Open-Source-Virenscanner	Scans auf Abruf, Mail-/Datei-Gateway
rkhunter	Rootkit-/Backdoor-Jäger	Regelmäßige Integritätsprüfungen auf Servern
chkrootkit	Leichter Rootkit-Signaturprüfer	Schnelle Zweitmeinung zu Rootkits
AIDE	Dateiintegritäts-Überwachung	Unerwartete Änderungen an Systemdateien erkennen

ClamAV

ClamAV ist der Standard-Open-Source-Virenscanner unter Linux. Am wertvollsten ist er als On-Access-Scanner auf einem Mail- oder Dateiserver, aber Sie können ihn auch auf Abruf auf einem Desktop laufen lassen.

# Debian / Ubuntu
sudo apt install clamav clamav-daemon

# Fedora
sudo dnf install clamav clamd

# Signaturdatenbank aktualisieren, dann ein Verzeichnis scannen
sudo freshclam
clamscan -r --infected /home/ihrbenutzer/Downloads

Die Signaturen von ClamAV sind weitgehend um Windows-Malware herum gebaut, was genau das ist, was Sie an einem Gateway wollen, das Windows-Clients schützt. Es erkennt vergleichsweise wenig, was direkt auf den Linux-Desktop zielt — wiederum bauartbedingt.

rkhunter und chkrootkit

Diese Werkzeuge suchen nach Rootkits — Malware, die darauf ausgelegt ist, sich zu verstecken, was wir in unserer Rootkit-Erklärung ausführlich behandeln. Sie vergleichen Systembinärdateien und bekannte Signaturen mit einer Datenbank verdächtiger Änderungen.

sudo apt install rkhunter chkrootkit

sudo rkhunter --update
sudo rkhunter --check --skip-keypress
sudo chkrootkit

Zwei ehrliche Einschränkungen. Erstens erzeugen beide Werkzeuge Fehlalarme — Warnungen, die auf einem gesunden System normal sind — ihre Ausgabe will also interpretiert, nicht in Panik beantwortet werden. Zweitens kann ein Rootkit, das den Kernel vollständig kompromittiert hat, jedes Werkzeug belügen, das auf eben diesem Kernel läuft. Bei einem System, das Sie wirklich für gerootet halten, ist der zuverlässige Weg, dessen Festplatte von einem separaten vertrauenswürdigen Boot-Medium zu scannen oder neu zu installieren.

AIDE

AIDE (Advanced Intrusion Detection Environment) nimmt eine Referenz-Momentaufnahme Ihres Dateisystems und sagt Ihnen, was sich seitdem geändert hat. Auf einem Server ist eine unerwartete Änderung an einer Systembinärdatei ein starkes Signal, dass etwas nicht stimmt — eine andere und oft nützlichere Frage als „passt das zu einer bekannten Virensignatur?”.

Was einen Linux-Desktop besser schützt als ein Antivirenprogramm

Wenn ein Virenscanner das falsche Hauptwerkzeug für einen Desktop ist, was ist das richtige? Mehrschichtige Verteidigung. Jede dieser Maßnahmen leistet für einen normalen Nutzer mehr als ein Signaturscanner:

Halten Sie das System aktuell. Die wirksamste Verteidigung ist Patchen. Automatische Sicherheitsupdates schließen die Lücken, auf die reale Angriffe angewiesen sind.
Installieren Sie Software nur aus vertrauenswürdigen Quellen. Die Repositorien Ihrer Distribution und verifizierte Flatpaks — keine zufälligen, in eine Shell gepipten Skripte oder .deb-Dateien aus Foren.
Sandboxen Sie riskante Anwendungen. Sperren Sie Browser und Mediaplayer ein, damit eine kompromittierte App nicht an Ihre übrigen Dateien gelangt. Siehe unsere Leitfäden zu Firejail und Linux-Sandboxing.
Arbeiten Sie als normaler Benutzer; nutzen Sie sudo gezielt. Surfen oder arbeiten Sie nie als Root. Rechtetrennung ist Ihre stärkste eingebaute Barriere.
Härten Sie Kernel und Dienste. Verpflichtende Zugriffskontrolle (AppArmor oder SELinux), eine Firewall und das Deaktivieren ungenutzter Dienste. Unser Leitfaden zur Linux-Härtung geht diese Schichten durch.
Verteidigen Sie sich gegen die realistischen Bedrohungen. Für die meisten Desktop-Nutzer ist das echte Risiko Phishing und bösartige Websites, keine Virendatei — blockieren Sie bösartige Domains auf Netzwerkebene und bleiben Sie gegenüber Social Engineering wachsam.

Dieses Schichtmodell erklärt auch, warum „Ist Linux sicherer als Windows?” die falsche Fragestellung ist — beide lassen sich härten oder ungeschützt lassen. Wir vergleichen sie direkt in Linux- vs. Windows-Sicherheit.

FAQ

F: Braucht Linux ein Antivirenprogramm? A: Für einen typischen privaten Desktop nein — Rechtetrennung, signierte Repositorien und eine kleine Angriffsfläche machen einen residenten Scanner wenig wertvoll. Antivirus zählt vor allem auf Linux-Servern, die Dateien oder Mail für Windows-Rechner verarbeiten, wo seine Aufgabe der Schutz dieser nachgelagerten Clients ist. Die bessere Desktop-Verteidigung sind Updates, Sandboxing und gute Gewohnheiten.

F: Kann Linux Viren bekommen? A: Linux ist nicht immun. Linux-Malware existiert — besonders mit Ziel auf Server, IoT-Geräte und exponierte Dienste — und ein Nutzer kann immer noch gephisht werden oder ein kompromittiertes Paket ausführen. Aber klassische selbstverbreitende Desktop-Viren, gegen die Consumer-Antivirus gebaut wurde, sind unter Linux selten. Die realistischen Bedrohungen sind Phishing, bösartige Erweiterungen und Supply-Chain-Kompromittierung.

F: Reicht ClamAV aus? A: ClamAV ist der Standard-Open-Source-Scanner und gut für seine Hauptaufgabe geeignet: Mail und Dateien an einem Gateway zu scannen, um Windows-Clients zu schützen. Als „Echtzeitschutz”-Produkt für den Desktop ist er begrenzt, und seine Signaturen sind auf Windows-Malware ausgerichtet. Nutzen Sie ihn für Scans auf Abruf und Server-Gateways, nicht als Ersatz für Desktop-Härtung.

F: Wie scanne ich ein Linux-System auf Malware? A: Installieren Sie ClamAV und führen Sie sudo freshclam und dann clamscan -r auf dem zu prüfenden Verzeichnis aus. Für Rootkits führen Sie rkhunter --check und chkrootkit aus. Interpretieren Sie Warnungen sorgfältig — beide Werkzeuge erzeugen Fehlalarme — und wenn Sie wirklich eine tiefe Kompromittierung vermuten, scannen Sie die Festplatte von einem separaten vertrauenswürdigen Boot-Medium oder installieren Sie neu.

F: Was ist der beste Schutz für einen Linux-Desktop? A: Mehrschichtige Verteidigung schlägt jedes Einzelprodukt: schnelle Sicherheitsupdates, Software nur aus vertrauenswürdigen Repositorien, Sandboxing für Browser und riskante Apps, verpflichtende Zugriffskontrolle (AppArmor/SELinux), eine Firewall und Wachsamkeit gegenüber Phishing. Ein Signaturscanner steht für einen Desktop weit unten auf dieser Liste.