Sind Virenscanner nur Schlangenöl?
Author
Daniel, Fr, 20. Feb. 2015
in IT-Sicherheit

Sind Virenscanner nur Schlangenöl?

Und könnte man deswegen auf sie verzichten?

Eine solide Securitylösung bildet das Fundament eines sicheren und stabilen Betriebssystems. So zumindest die weitläufige Meinung zum Thema Virenschutz. Doch in letzter Zeit häufen sich Berichte, dass diese Lösungen nicht immer den ursprünglich angepriesenen Schutz bieten.

Kritiker diskutieren die grundsätzliche Wirkung: Sollen Virenscanner überhaupt noch genutzt werden? Bieten sie überhaupt wirksamen Schutz? Wenn ja, genügt dieser, um gezielte Angriffe vollständig abzuwehren? In diesem Zusammenhang wird häufig die Bezeichnung „Schlangenöl“ (aus dem Englischen snake oil) verwendet. Damit ist ein Produkt gemeint, das wenig oder gar keine echte Funktion hat, aber als Wundermittel zur Lösung großer Probleme vermarktet wird
und von der Masse mit Freude für viel Geld gekauft wird.

Viele Tests – Ein Prüfverfahren

In regelmäßigen Abständen werden Tests und Auswertungen zu diesem Thema veröffentlicht. In vielfacher Hinsicht werden Virenscanner nach den bekannten Kriterien Schutzwirkung, Systembelastung und Bedienbarkeit geprüft. Die Systembelastung und Bedienbarkeit sind für meine heutige Betrachtung eher zu vernachlässigen, weil Virenscanner häufig alleine im Systemhintergrund agieren. Die Mehrheit der Anwender macht sich demnach keine Gedanken, auf welche Art und Weise die Systemgeschwindigkeit beeinträchtigt werden könnte. Deutlich interessanter ist dagegen die Betrachtung der eigentlichen Schutzwirkung.

In einem aktuellen Test wurden 28 Virenprogramme genau auf die drei genannten Kriterien überprüft. Die Antivirenspezialisten von AV-Test beziehen sich in ihrer

Überprüfung jeweils auf Virenscanner für Windows. In diesem Test wurden sämtliche Virenprogramme in zwei Abschnitten überprüft. Zunächst erfolgte der Einsatz von 150 aktuellen Schadprogrammen. Anschließend verwendeten die Tester ein Referenz-Set von 12.000 Schädlingen. Auf Basis dieser Testszenarien erfolgte eine Ermittlung der jeweiligen Erkennungsraten. Ein klassisches Vorgehen, das auch bei anderen Tests üblich ist.

Was fällt auf?

Der Großteil der untersuchten Virenscanner zeigt eine Erkennungsrate von 99%. Diese Tatsache klingt erst einmal beruhigend. Aber wenn man sich die Auswirkungen von Fehlern in unterschiedlichen Bereichen vorstellt (z.B. Start/Landungen bei einem Flugzeug oder die Wirkung von Airbags), ist es sinnvoll auch die kleinsten Fehlermöglichkeiten zu beheben. Eine Rate von 100 % erzielten wiederum nur wenige der getesteten Virenschutzprogramme im „Real World Test“ (aktuelle Schadprogramme). Welche Auswirkungen hat somit das fehlende Prozent bei Virenscannern?

Das fehlende Prozent

Das fehlende Prozent impliziert, dass das jeweilige Betriebssystem nicht vollumfänglich vor Schädlingen geschützt ist. 99 sind eben nicht 100. Der fehlende Prozentpunkt bietet Malware und Viren die Möglichkeit, irgendwann in ein System einzudringen. Eine im August 2014 veröffentlichte Auswertung von AV-Comparatives präsentiert die Möglichkeiten, inwieweit Malware den Schutzmantel von Virenscannern überwinden können. Im Laufe des Testzeitraums wurde über drei Testlabore unterschiedliche Malware weltweit versendet. Anschließend erfolgte ein Abgleich mithilfe eines File-Detection-Tests. So konnte gefiltert werden, welcher Virenscanner welche Schädlinge in dem Testzeitraum erkannt und nicht erkannt hat. Hierbei ergaben sich nicht nur große Risikounterschiede bei den einzelnen Virenscannern. Das Risiko war auch von dem jeweiligen Land abhängig.

Daher könnte man provokant konstatieren, dass Virenscanner mit einem Fahrradschloss vergleichbar sind. Im besten Fall sorgen gute Virenprogramme während eines Angriffs nur für eine Zeitverzögerung. Letztendlich kann aber auch das Virenschutzprogramm aufgrund der 1 %igen Sicherheitslücken nichts gegen einen geplanten Angriff von Außen ausrichten.

Auch der Funktionsumfang ist bei einigen Programmen zu hinterfragen. Nach Auffassung der Stiftung Warentest sollte eine Sicherheitssoftware sowohl mit als auch ohne Internetverbindung funktionieren. „Schließlich sind nicht alle Rechner pausenlos online – zum Beispiel in der Bahn, im Flugzeug oder im Ausland“, heißt es von der Stiftung. Das Internet sei zwar der wichtigste, aber nicht der einzige Infektionsweg auf Computern. Diese Lücke haben zwar einige Anbieter erkannt, in ihren Programmen jedoch noch nicht geschlossen.

Die notwendige Veränderung

Lange Zeit haben sich IT-Sicherheitsunternehmen auf die reine Schadensbegrenzung und Analyse fokussiert. Aufgrund einer veränderten Ausgangslage – immer neuere Versionen von Schadprogrammen, Malware und Viren sowie verbesserte Internet Browser – ist es erforderlich, sich von der klassischen Analyse zu distanzieren. Die Analysefunktion übernehmen beispielsweise schon die gängigen Internet Browser. In der Folge müssten die Hersteller die Prävention eines Angriffs in den Mittelpunkt stellen, um so eine auffällige Software zu klassifizieren und ihr Verhalten zu analysieren. Auf dieser Basis ist es möglich, Verhaltensmuster zu erkennen, sodass ähnlich agierende Schadprogramme schneller und effektiver bekämpft werden können. Diese Veränderung haben zwar einige, aber noch nicht alle Hersteller vorgenommen. Um jedoch aktiv gegen die Verbreitung von Malware und Viren vorzugehen, ist das proaktive Handeln bei sämtlichen Virenscannern nötig.

Meine abschließende Meinung

Es kann abschließend nicht eindeutig geklärt werden, ob Virenscanner das neue Schlangenöl sind. Die Mehrheit der auf den Markt vorhandenen Virenscannern ermöglichen einen großen Schutz vor Malware und Viren. Dieser Punkt wird durch regelmäßige Testergebnisse nachgewiesen, in denen Erkennungsraten von 99% oder mehr erzielt werden. Doch das notwendige proaktive Handeln sowie die Klassifizierung von Schadprogrammen wird noch nicht ganzheitlich umgesetzt. Daher wird zukünftigen Viren immer noch das Tor zum jeweiligen Betriebssystem geöffnet, weil die reine Analyse bei sich ständig veränderten Angriffen nicht ausreicht. Erfolgt die beschriebene Veränderung der Funktionsweise insbesondere bei kostenlosen Programmen nicht, werden weiterhin große und leider erfolgreiche Angriffswellen auftreten. Zwar kann nie ganz der vollumfängliche Schutz garantiert werden, doch ist es sinnvoll und richtig, einen im Hintergrund agierenden Partner in Sachen Virenschutz installiert zu wissen.

 

0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.