Anti-Viren-Software: Trügerische Sicherheit

Es ist ein alter Bekannter, wenngleich sich die meisten Computernutzer nur mit Schrecken an ihn erinnern: Der von einem frustrierten philippinischen Schüler geschriebene PC-Virus „I love you“ galt nicht einmal als Meisterstück, dennoch richtete er im Jahr 2000 weltweit einen Milliardenschaden an. In einem Vortrag über Computergefahren demonstrierte unlängst der Ex-Hacker und Sicherheitsexperte Mark Semmler, dass „I love you“ seinen Schrecken noch immer nicht verloren hat. Nur ein paar simple Änderungen in der Betreffzeile und dem Textinhalt des Virus reichten aus, um die Sicherheitsbarrieren vieler hochgelobter Anti-Viren- Programme zu überwinden. Das verheerende Ergebnis dieser Demonstration ist beileibe kein Einzelfall. Das Computerfachmagazin „c’t“ hat gerade erst in einem umfassenden Test festgestellt, dass immer mehr Schädlinge in der Lage sind, die Schutzprogramme auszutricksen.

>2007: DAS JAHR DER VIREN

Im normalen Leben ist es um das subjektive Sicherheitsgefühl häufig schlechter bestellt als nötig. Bei der Computersicherheit ist es genau entgegengesetzt. Viele Nutzer wägen sich in einem falschen Gefühl der Sicherheit, obwohl die Gefahren rapide wachsen. Pro Stunde nimmt die Zahl der Viren, Würmer und Trojaner um rund 1000 zu, berichtet die „c’t“ (Ausgabe 1/2008). Der Antiviren-Spezialist Kaspersky Labs ermittelte in 2007 durchschnittlich 220 000 neue Viren pro Monat. Die Gesamtzahl der neuen Viren war damit im vergangenen Jahr höher als die Zahl aller Viren der vorherigen 15 Jahre. Zwar handelt es sich zumeist um Abwandlungen oder Weiterentwicklungen bekannter Schädlinge. Viele Virenscanner sind jedoch allein wegen der schieren Masse überfordert.

WIE VIRENSCANNER FUNKTIONIEREN

Zum Verständnis: Im Wesentlichen beruht der Schutz vor Viren auf zwei Verfahren. Zum einen prüfen die Virenscanner die Dateien auf bekannte Muster. Die Virensignatur ist mit einem menschlichen Fingerabdruck vergleichbar. Allerdings gibt es inzwischen Millionen von Schädlingen. Um nun den Computer nicht auszubremsen, beschränken sich die Antiviren-Firmen bei der Signaturerkennung auf die aktuell relevanten Viren, Würmer und Trojaner. Alte Bekannte wie „I love you“ erhalten so eine zweite Chance. In der Zeit zwischen Ausbruch einer Virenwelle und der Bereitstellung des Signaturupdates ist der Computer somit besonders gefährdet. Dagegen soll als zweiter Schutzzaun eine heuristische Schädlingsbekämpfung helfen. Damit wird nach Ähnlichkeiten gesucht, die auf einen Schädling hindeuten. Während die Signaturerkennung bekannter Viren bei den meisten Programmen nach wie vor sehr gut ist, hat sich das Ergebnis bei der heuristischen Erkennung laut „c’t“ 2007 massiv verschlechtert. Nur einem Programm gelang es, mehr als zwei Drittel der unbekannten Schädlinge zu erkennen, das Hauptfeld ließ zwei von drei unbekannten Schadprogrammen durch.

>DER AUSWEG: VERHALTENSKONTROLLE

Ein Ausweg aus dem Dilemma führt nach Meinung von Sicherheitsexperten wie dem „c’t“-Redakteur Jürgen Schmidt über ein verhaltensbasiertes Verfahren. Dabei geht es nicht um das Verhalten des Computernutzers, sondern darum, welche Aktionen in der ausführbaren Datei stecken. Bei dieser Verhaltensanalyse wird vom sogenannten „Behavioral Blocking“ gesprochen. Die Idee dahinter sieht so aus: Die Datei wird in einem abgeschlossenen Bereich, einem PC-Sandkasten, ausgeführt. Versucht das Programm nun beispielsweise, die Tastaturanschläge aufzuzeichnen oder eine Firewall zu deaktivieren, so wird dies als Indiz für einen Schädling gewertet. Der Virenscanner schlägt in diesem Fall Alarm und rät, diese Datei in Quarantäne zu schicken. Der große Vorteil dieser noch neuen Technik: Auch unbekannte Schadprogramme lassen sich identifizieren.

>DIESE PROGRAMME HELFEN

Einen klaren Favoriten für Computer mit Windows (XP und Vista) hat Jürgen Schmidt nicht. Anti Virus 2008 von F-Secure glänzte zwar bei der verhaltensbasierten Erkennung, zeigte aber Schwächen bei der Spyware-Abwehr (siehe Kasten). Ein Kompromiss ist für den „c’t“-Redakteur der BitDefender, allerdings bremst dieses Programm den Computer spürbar aus. Schnell, aber dennoch in den meisten Fällen gut und bei der Heuristik sogar führend ist NOD32 Antivirus. Als einsteigerfreundlich erwiesen sich Norton Antivirus 2008 und Windows OneCare. Allerdings ist bei ihnen der Schutz vor Spyware unzureichend. Ex-Hacker Mark Semmler hatte nach seiner „I love you“-Präsentation noch einen anderen, untechnischen Tipp: „Man sollte eben nicht auf alles klicken, nur weil es bunt ist“, empfiehlt der Sicherheitsberater.