Antiviren-Mythen entlarvt

In diesem Artikel behandeln wir die Hauptirrtümer hinsichtlich der heutigen Antiviren-Industrie und sprechen darüber, was Antivirenprogramme tatsächlich tun können und was nicht.

Antivirenprogramme sind zweifellos Hauptbestandteil eines umfassenden Sicherheitspakets, das auf dem Desktop jedes sicherheitsbewussten Nutzers vorhanden sein sollte. Sie tragen zum Schutz gegen viele Bedrohungen bei und sind ein unerlässliches Werkzeug, um die Sicherheit aller eingehenden Dateien und E-Mail-Nachrichten vor dem Öffnen zu überprüfen.

Viele Leute halten Antivirensoftware jedoch fälschlicherweise für eine allmächtige Lösung, die sie auf immer und ewig gegen all die heutigen Sicherheitslücken schützen wird. Tatsächlich entspricht das nicht einmal annähernd der heutigen Realität, da Antivirenprogramme einzeln eingesetzt eine stark eingeschränkte Leistung bieten.

Viren, Spyware, Trojaner und Würmer verseuchen weiterhin die Computerarbeitsplätze in Firmen und zuhause, während sie ihre Widerstandsfähigkeit gegen Sicherheitsscanner ständig verbessern und ihre Auswirkungen und Verlangsamungseffekte auf die betroffenen Systeme verstärken. Bevor sie ihre Erzeugnisse in Umlauf bringen, unterziehen Hardcore-Virusentwickler ihre „Programme“ gründlichen Tests mit einer ganzen Reihe von Antivirus- und Antispywareprogrammen, um sicherzustellen, dass ihre Schadprogramme von den aktuellsten AV-/Spyware-Signaturdefinitionen nicht entdeckt werden. Das kompliziert die Erkennungsarbeit der Computersicherheitsfirmen natürlich. Eine ganze Reihe von Hackerforen und Blogs sind entstanden, um Sicherheitslücken zu diskutieren und Möglichkeiten zu besprechen, der Entdeckung durch Antivirenprogramme zu entgehen. Die Antivirenbranche veranstaltet also eine Art Aufholjagd mit der Untergrundgemeinschaft, die den allgemein verfügbaren Informationen über Sicherheitslücken meistens einen Schritt voraus ist. Im letzten Jahr gab Softwarehersteller nach Softwarehersteller Empfehlungen heraus, in denen die Nutzer gebeten wurden, ihr System mit Patches zu aktualisieren, die ein Problem beheben, das nach Durchführung eines Virenscans durch eine speziell entwickelte Archivdatei zur Infizierung des Systems führen könnte. Seltsamerweise tauchte das Problem während eines Zeitraums von drei Monaten immer wieder auf, was befürchten ließ, dass die Branche allgemein nicht in der Lage sei, ihre Produkte sicher und fehlerfrei zu machen.

Angreifer entwickeln immer bösartigere und grausamere Arten, ihre Opfer zu drangsalieren, zum Beispiel mit Online-Erpressung und betrügerischen Aktivitäten. Sie versenden bösartige Programme, die die Dateien des Opfers verschlüsseln und verlangen dann eine Gebühr, um sie wieder zu entschlüsseln. Diese Programme benutzen virusähnliche Methoden zur Infizierung von Systemen und sie können erst wieder entfernt werden, nachdem das Opfer eine Art Lösegeld bezahlt hat oder nachdem ein Antivirusprogramm sie desinfiziert hat – ein neuer und beunruhigender Trend, der über die üblichen Einschüchterungsmethoden hinausgeht.

Die Reaktion auf Virenepidemien ist heutzutage ein weiteres dringliches Problem. Es wird geschätzt, dass die Zeitspanne zwischen dem Zeitpunkt, zu dem ein Virus in freien Umlauf gebracht wird und dem Zeitpunkt, zu dem die meisten Softwarehersteller auf die Bedrohung reagieren, indem sie einen Fingerabdruck zur Entdeckung der neuen Virenart herausbringen, zwischen einigen Stunden und mehreren Wochen liegt – das ist angesichts der Geschwindigkeit, mit der sich neue Angriffe verbreiten, eine ziemlich lange Zeit, um großen Schaden anzurichten. Zero-Day-Angriffe und Angriffe, die dadurch entstehen, dass die Nutzer ihre Virensignaturen nicht rechtzeitig aktualisieren, sind die Hauptursachen für Virenpandemien. In absehbarer Zukunft, solange Antivirensoftware weiterhin zum größten Teil auf signaturbasierter Entdeckung beruht, wird die Verteidigung dem Angriff immer so weit hinterherhinken, dass Antivirensoftware zu einem ziemlich unwirksamen Werkzeug im Kampf gegen neue, allgemeine Bedrohungen werden würde.

System-Stealthing-Techniken (Stealthing wörtlich: verbergen, verschleiern) breiten sich anscheinend sehr stark aus. Diese Techniken, die Rootkits („Administratorausrüstung“) genannt werden, verschleiern das Vorhandensein einer Datei (somit eines Virus – zu bösartigen Zwecken) in einem System durch Abfangen der API-Funktionen des Systems und das Überlisten von Explorer-ähnlichen Programmen dazu, den tatsächlichen Inhalt eines Dateiordners nicht anzuzeigen. Auch gerade ausgeführte Tasks werden dabei so manipuliert, dass sie es einer bösartigen Anwendung ermöglichen, ihr Vorhandensein im Arbeitsspeicher und in den ausgeführten Prozessen auf einem Computer zu verbergen. Der Großteil heutiger Antivirenprogramme ist noch nicht in der Lage, Rootkits zuverlässig zu erkennen und entsprechend zu reagieren, so dass die meisten komplexen Schadprogramme mit so ausgefeilten Methoden vermutlich unentdeckt bleiben.

Die Entdeckung von Bedrohungen ist nach wie vor die größte Hürde für die heutigen Antivirenprogramme. Da weltweit vorhandenen Bedrohungen aufgrund einer unzureichenden Objekt-Verhaltensanalyse (auch als heuristischer Scan bekannt) nicht erkannt werden und gleichzeitig Rootkits nicht entdeckt werden können, sind ergänzende Lösungen erforderlich. Es geschieht ziemlich häufig, dass eine Antivirensoftware, die die vorherige Version eines Virus erfolgreich erkannt hat, bei einer nachfolgenden Virusvariante, die leicht abgewandelt wurde, um die Entdeckung zu verhindern, erfolglos ist.

False-Positive-Meldungen sind nach wie vor ständige Begleiter der Branche. Obwohl keine genauen Zahlen vorliegen, machen False-Positive-Meldungen (legitime Objekte, die fälschlicherweise als bösartig erkannt und entsprechend behandelt werden) mehr als ein Prozent der gesamten Scanergebnisse aus – eine ziemlich hohe Anzahl, wenn man bedenkt, dass eine fälschlicherweise gelöschte oder modifizierte Datei ernsthafte Probleme verursachen kann. Vor nicht allzu langer Zeit gab es Berichte über die Antivirensoftware einer großen Firma, die fälschlicherweise eine ausführbare Datei bei der japanischen Eisenbahn-Verwaltungsbehörde gelöscht hat, was den Verkehr lahm legte und einen enormen Aufwand zur Lösung der verursachten Probleme mit sich brachte.

Leistungsverminderungen, auch wenn sie nicht so schwerwiegend sind wie die vorherigen, beeinträchtigen die Produktivität bei der Arbeit und die Computernutzung von Privatanwendern. Nicht selten benötigt eine im Hintergrund laufende Antivirenüberwachung bis zu 80 Prozent der CPU-Leistung und einen beträchtlichen Teil des Arbeitsspeichers. Das ist deutlich erkennbar, wenn man z.B. eine Software von über 4 GB installiert oder mit laufender Virenüberwachung ein speicherintensives Computerspiel spielt – die Spielqualität wird sich merklich verschlechtern.

Nachdem die Antivirensoftware einen Virus entdeckt hat, ist der nächste Schritt dessen Entfernung. Das kann eine ziemliche Herausforderung sein, da die meisten Viren dazu neigen, sich auf einem Computersystem zu vervielfältigen, zu mutieren und zusätzliche schädliche Programmteile aus dem Internet herunterzuladen. Ein einziger Wurm oder Virus kann an über einhundert Speicherorten vorhanden sein; mehrere Viren können nebeneinander existieren und Komponenten austauschen, um der Entfernung zu entgehen, indem sie sich gegenseitig als Backup-Punkte dienen.

Angesichts der Komplexität des Problems ist es nicht verwunderlich, dass Antivirenprogramme es in einigen Fällen nicht schaffen, die Bedrohung vollständig auszulöschen. Die Aufgabe, feindlichen Code aus einer Datei zu entfernen und dabei gleichzeitig die ursprüngliche Version zu erhalten, erweist sich als knifflig, und Antivirenprogramme löschen oft mehr als unbedingt nötig und hinterlassen so ein Programm oder eine Komponente, die nicht funktionsfähig oder völlig nutzlos ist. Das passiert unglücklicherweise vielen Nutzern, die feststellen müssen, dass ein Antivirenprogramm erfolglos versucht hat, die infizierte Stelle zu reparieren und dass als Folge davon ihre Dateien beschädigt sind.

• Installieren Sie eine Firewall, die den Computer vor unzulässigen oder unnötigen Verbindungen schützt (z. B. Outpost Firewall Pro mit zusätzlichem Schutz vor Spyware), um von Schadprogrammen ausgeführten Verbindungen vorzubeugen.
• Benutzen Sie mehrere Antivirenprogramme gleichzeitig, einschließlich kostenloser und kommerzieller Software (kostenlos z.B. ClamAV oder Antivir). Selbst wenn eine simultane Echtzeit-Überwachung nicht möglich ist, wird wenigstens die gezielte Überprüfung einzelner Dateien funktionieren. Übermitteln Sie den Software-Herstellern Dateien zur Überprüfung, mit Hilfe der speziellen Formulare, die auf den Webseiten der meisten AV-Hersteller zur Verfügung stehen.
• Öffnen Sie keine verdächtigen oder unbekannten Dateien und E-Mail-Anhänge.
• Benutzen Sie Backup-Möglichkeiten und speichern Sie wichtige Dateien auf unterschiedlichen Quellen.
• Arbeiten Sie nicht mit einem Konto mit Administrator-Status, wenn es nicht unbedingt erforderlich ist (melden Sie sich mit einem eingeschränkten Benutzer-Konto an, um im Internet zu surfen).
• Aktualisieren Sie Betriebssystem und andere Software mit den Patches der Hersteller.
• Probieren Sie alternative Browser-Programme wie Opera oder Firefox aus.

Zum größtmöglichen Schutz sollte Antivirensoftware in Verbindung mit anderen Sicherheitsmaßnahmen und zügigen Aktualisierungen für vorhandene Software genutzt werden. Die beste Sicherheitsmaßnahme ist umfassenderes Wissen, also halten Sie sich mit unserem Newsletter „Security Insight“ auf dem Laufenden und erfahren Sie nächsten Monat mehr!