Das ist die Grundlage von Stiftung Warentest: Anti-Virus-Scanner im Test
Sie dienen dazu, das ordnungsgemäße Funktionieren dieser Webseite zu sichern, den Inhalt und die Werbebotschaften zu individualisieren, soziale Medienfunktionen anzubieten, unseren Datenbestand zu untersuchen, in der Regel pseudonymisiert Nutzungsprofile zu erzeugen, glaubwürdige soziale Medien, Werbe- und Analyse-Partner über Ihre Benutzung unserer Webseite zu unterrichten. Weitere Hinweise und Einstellmöglichkeiten, einschließlich des Widerrufsrechts, sind unter " Verwendung von Cookies " und in der " Erklärung zum Datenschutz " am Ende der Webseite bei uns impressum ersichtlich.
Eher risikoreich als geschützt? - Schlangenöl Teil 1 - IT-Sicherheit sblog von Kuetz
Virenscanner (AV-Scanner) werden heute von vielen Anwendern als die wichtigste Schutzmassnahme im Bereich der Malwarebekämpfung erachtet. In der IT-Sicherheit ist Schadprogramm alle Programme, die eine Gefahr für ein IT-System bedeuten können. Namhafte Repräsentanten der Malware-Kategorie sind z.B. Viruse, Worms oder Trojaner.
Spielt das Virus heute eine recht geringe Bedeutung, so hat in den vergangenen Jahren die Erpressung von Malware, die als "Ransomware" bekannt geworden ist, deutlich zugenommen. Angesichts des oben geschilderten fortschreitenden Trend zur Vermarktung und Professionalität der Cyberkriminalität durch Malware sind sowohl Firmen als auch private Anwender auf der Suche nach einem angemessenen und effektiven Schutz vor diesen Gefahren.
Häufig ist Antivirensoftware (AV-Software) die erste Möglichkeit. Deshalb wird sich die Artikelreihe mit den Vor- und Nachteilen eines AV-Programmes aus fachlicher Perspektive befassen. So können Sie abschätzen, ob AV-Software für Sie eine nützliche und notwendige Maßnahme zum Schutz vor der wachsenden Zahl neuer Arten von Gefahren aus dem Internet sein kann.
Auf diesen kontinuierlichen Wandel wurde eine Spezialsoftware zur Erkennung und Beseitigung bösartiger Schädlinge hin konzipiert. Dies war die Geburt der audiovisuellen Kommunikation. Zur Verdeutlichung des Bedarfs an Antivirensoftware vergleichen die Datenträger diese oft mit dem des Menschen. Das Ergebnis: Virenscanner (AV-Scanner) werden als "zentraler Baustein" des Abwehrsystems eines Computers bezeichnet und inszeniert.
Durch bizarre Vergleiche und oft gezielte Angstmacherei wird der Anwender mit der absoluten Notwenigkeit eines Antiviren-Scanners "implantiert". Die meisten Anwender und System-Administratoren halten einen AV-Scanner auch heute noch für ein unentbehrliches Instrument zum Schutz vor allen Arten von Malware. Die von Google Befragten (ottonormal) betrachteten einen AV-Scanner als die bedeutendste Massnahme, um sich vor "Online-Gefahren" zu schuetzen.
Gegenüber den Anwendern halten jedoch nur sieben Prozente der Fachleute einen AV-Scanner für eine bedeutende Massnahme - die Fachleute stimmten an erster Stelle für "regelmäßige Updates". Sicherheitsfachleute bezeichnen Antivirensoftware oft als "Schlangenöl". Die wiederholte Behauptung, AV-Software sei nur "Schlangenöl", ist jedoch nicht umstritten.
In einem Blogeintrag: Die (sofortige) deinstallierung dieser Scriptsoftware. Seines Erachtens ist es nicht möglich, den Benutzer angemessen zu beschützen. In diesem Zusammenhang fügt er hinzu, dass die meisten Windows-Computer ein ( "zusätzliches") Sicherheits-Risiko darstellen, da diese selbst eine Vielzahl von Sicherheitslücken aufweist und damit die Möglichkeiten von Angriffen ausweitet.
Weil ein normaler Anwender ohne spezielle Kenntnisse sicher noch von der aktuellen AV-Software profitieren würde. Die folgende Tabelle zeigt, dass sich die Zahl der Malware in den vergangenen Jahren verfünffacht hat. Malware verbreitet sich immer häufiger.
Deshalb ist es unserer Meinung nach nur berechtigt zu fragen, ob modernste AV-Software noch in der Lage ist, auf diese Bedrohungssituation ausreichend zu antworten. Zur Beantwortung dieser Fragen sollte man sich die weitere Fragestellung überlegen, ob die Funktionalität der AV-Software noch "aktuell" und effektiv ist.
Die AV-Scanner / AV-Software macht klar, dass der (Haupt-)Zweck dieser Programme darin liegt, einen Virus zu erkennen und zu unterdrücken. Heute hat sich dieser Sinn jedoch durch die neuen (Online-)Bedrohungen ausgeweitet. Heutige AV-Scanner sind nicht nur darauf ausgelegt, einen Rechner vor Computerviren zu beschützen, sondern auch vor anderen Gefahren aus dem Netzwerk, wie z.B. Trojanern oder Ad-ware.
Generell: von Malware. Zur Gewährleistung eines angemessenen Schutzes "scannen" diese Anwendungen die Festplatten (einschließlich des zusätzlichen Speichers) eines Rechners und werten den ein- und abgehenden Verkehr auf (bekannte) Anomalien aus. Wird eine " Malware " entdeckt, bemüht sich die AV-Software, diese zu beseitigen. Ist dies nicht möglich oder hat der Benutzer das Löschung von Daten "deaktiviert", so wird die betroffene Seite unter "Quarantäne" gestellt.
Die Vor- und Nachteile der Methoden werden dabei möglichst sachlich dargestellt, was die Vielschichtigkeit der Scanner erhöht, was zu weiteren Programmierfehlern und damit zu einer erhöhten Schwachstellenanfälligkeit der Scanner beiträgt. Die AV-Scanner funktionieren hauptsächlich mit Unterschriften bei der Malwareerkennung.
Die AV-Scanner enthalten daher umfassende Signaturdatenbanken mit bekannten Schadprogrammen, die in regelmässigen Intervallen vom jeweiligen Anbieter auf den neuesten Stand gebracht werden. Mit dieser täglichen "Re-Impfung" kann die AV-Software die Computerdaten mit den ihm bei den (neuen) Scans zur VerfÃ?gung gestellten Unterschriften abgleichen. Die Signatur-basierte Überprüfung auf Malware ist eine relativ rasche Möglichkeit, einen Virus zu finden.
Ändert sich die Malware nur geringfügig, ändern sich zugleich die in der Regel eindeutigen Identifikationsmerkmale. Der AV-Scanner kann die "Malware" also nicht mehr anhand der ihm vertrauten Unterschriften aufspüren. Nachteilig bei der Signaturerkennung ist auch, dass mittlerweile zahllose neue Malware oder auch Malwarevarianten publiziert oder fast jede Stunde bekannt werden.
Für Virenscannerhersteller ist es daher schwierig, die relevanten Daten über neue Malware zu beschaffen, die Malware zu erkennen bzw. zu klassifizieren und dabei ( "eindeutige") zu unterzeichnen. Überzeugen Sie sich selbst von diesem oben geschilderten Problem: Überprüfen Sie dazu ganz unkompliziert die neueste Malware, die Sie z.B. per E-Mail über den Online-Antivirendienst "VirusTotal" erlangt hat.
Ist die Malware verhältnismäßig jung, wird rasch deutlich, dass nur ein Teil der AV-Scanner diese als defekt und "bekannt" einstufen. Auch die AV-Hersteller haben festgestellt, dass die Signatur-basierte Form der Detektion (an sich) nicht mehr aktuell ist und nutzen daher andere Verfahren wie die korrespondierende Heuristik, um "neue" Malware zu erkennen und zu eliminieren.
Immer kürzer werdende Zeiten, in denen neue Malware inklusive entsprechender Varianten in den Verkehr kommen, führen dazu, dass AV-Hersteller immer häufiger mit "Heuristik" auseinandersetzen. Allerdings reicht, wie auch die Heuristik, wie entsprechende Untersuchungen (siehe Abschnitt 5) belegen, nicht aus, um sich dauerhaft vor modernen Schadprogrammen zu schützen. 2. Häufig ist dies darauf zurückzuführen, dass Malware-Autoren das Verhalten ihrer Programme vor dem Inverkehrbringen prüfen oder ändern, so dass sie von aktuellen AV-Scannern nicht mehr wiedererkannt werden.
Zusammengefasst kann daher festgestellt werden, dass auch die heuristische Methode keine zufrieden stellende Detektion von Malware garantieren kann. Da die Heuristik-Methode allein nicht ausreicht, wird die Anwendung in einem sogenannten Sandkasten geprüft. Immer häufiger wird potentiell fehlerhafte Ware in einem sogenannten "Sandkasten" auf Malware überprüft.
In der Regel ist "Sandboxing" eine Technologie, bei der eine zugehörige Anwendung eine (isolierte) Ablaufumgebung erzeugt, wobei sie von den anderen Systemresourcen geschützt ist. Damit soll sichergestellt werden, dass z.B. jegliche Handlungen der Malware (idealerweise) keine Auswirkungen auf die (System-)Umgebung haben. Der Sandkasten soll eine Form von "Gefängnis" für die betreffende Anwendung sein.
Außerdem hat die Anwendung in dieser Arbeitsumgebung keinen oder einen AV-Scanner, der diese "Sandboxing-Technik" verwendet, um die zu überprüfende Datei bzw. die zu überprüfende Datei in einer solchen abgelegenen Arbeitsumgebung zu testen. Weicht das Verhalten der zu testenden Programme in gewisser Hinsicht von dem Verhalten einer solchen Programme ab, bewertet der AV-Scanner dies als potentielle Gefahren.
Anhand entsprechender Protokolle kann am Ende der Überprüfung ausgewertet werden, welche Handlungen die Malware möglicherweise auf dem Rechner durchgeführt hätte, wenn sie nicht im Sandkasten "eingesperrt" gewesen wäre und welchen Schäden diese angeblich erlitten haben. Zum Beispiel ist der Gebrauch eines Sandkastens in einer AV-Software sehr ressourcenintensiv.
Zudem besteht bei der Sandbox-Analyse immer ein Residualrisiko, dass mit dieser Technik nicht alle Malware wie die fortschrittliche, "intelligente" auffindbar ist. Angesichts der heute verbreiteten "intelligenten" Malware ist es normal, dass sie beim Starten unauffällig prüft, ob sie in einer solchen Virtualität abläuft.
Nur wenn er erkennt, dass er auf einem "echten" Rechner (z.B. Windows) läuft, schaltet er seine tatsächliche bösartige Funktion ein. Deshalb gibt es heute immer mehr Malware mit einer korrespondierenden "Sleep-Funktion", gegen die die Sandbox-Analyse nur eingeschränkt vorgehen kann. Durch diese " Sleep"-Funktion in modernen, fortschrittlichen Malware-Programmen wird es für AV-Hersteller immer bedeutender, die Funktionalität der Programme kontinuierlich zu überprüfen.
Den oben genannten Methoden "Heuristik" und "Sandbox" ist gemeinsam, dass sie immer (proaktiv) aktiviert werden, bevor eine Akte oder ein bestimmtes Anwendungsprogramm ausgeführt wird. Die beiden Vorgehensweisen zielen darauf ab, die potentielle Bedrohung durch eine bestimmte Anwendung zu erkennen, bevor sie ausgeführt wird, und, falls erforderlich, Maßnahmen zu ergreifen. Beispielsweise überwacht die mit dieser Technologie ausgestattete audiovisuelle Technologie kontinuierlich das Systemverhalten von Abläufen.
Häufig von AV-Programmen vermutete Handlungen sind z.B. Wiederholungen, Änderungen am Zugang zu ausführbaren Programmen oder der Versuch einer beliebigen Anwendung, auf ein externes Speichermedium aufzurufen. AV-Scanner mit Verhaltensanalysen sind aufgrund ihres Ansatzes mit den in der Server-Welt weit verbreitet eingesetzten hostbasierten Einbruchmeldeanlagen ( "HIDS") zu vergleichen.
Sie können auch kontinuierlich Akten und Vorgänge beobachten und bei Anomalien eingreifen oder alarmieren. Um den immer neuen Gefahren entgegentreten zu können, greifen die AV-Scanner wie beschrieben sowohl auf vorausschauende als auch auf reaktionsfähige Methoden zurück. Es ist daher fraglich, ob die "modernen" AV-Softwareprodukte in der Lage sind, aktuelle Malware wirksam zu bekämpfen.
Wenn man sich die erfolgreichen Attacken auf Firmen ansieht, die aufgrund ihrer Grösse wahrscheinlich alle mit fortschrittlicher AV-Software arbeiten. AV-Software wird regelmässig von Computerzeitschriften-Redakteuren, neutralen Testinstituten oder auch von AV-Herstellern selbst auf ihre Effektivität überprüft. So löste ein Test der Stiftung Warentest aus dem Jahr 2012 (Ausgabe 04/2012), der kein gutes Bild von der aktuell auf dem Markt erhältlichen AV-Software lieferte, scharfe Kritiken bei den AV-Herstellern aus.
Bei diesem Test testete die Stiftung Warentest 18 AV-Scanner auf ihre Nachweisraten bei 1800 "aktuellen" Schadinsekten. Die Erkennungsquote der getesteten Virenschutzsoftware variierte zwischen 96% und 36%! Alle Malware, die per E-Mail an die University of Alabama in Birmingham geschickt wurde, wurde in den VirusTotal Online-Service eingelesen.
Die Folge: Die mittlere Erkennungsquote der geladenen Malware betrug fast 25%. Die Effektivität eines AV-Scanners läßt sich nur bedingt aus einem einzelnen Test ablesen. Das Thema "Aktualität von Signaturdatenbanken" ist angesichts der Vielzahl an Malware, die jeden Tag neu ist, oft die Achillessehne, mit der die Produzenten konfrontiert sind.
Auch die vergleichsweise moderaten Detektionsraten der modernen AV-Scanner zeigen, dass die von ihnen verwendeten Detektionsmethoden nicht wirklich zuverlässig oder ausreichen. Die Werbebotschaft sagt uns, dass audiovisuelle Programme darauf ausgelegt sind, die Benutzer vor Gefahren und den Folgen einer Malware-Infektion zu bewahren. Auf Grund der Schutzwirkung dieser Programme geht der Benutzer (implizit) davon aus, dass der Hersteller dieser Programme alles getan hat, um diese Programme auf sichere Weise zu erstellen, so dass sie selbst nicht angreifbar sind.
Aber auch diese stillschweigende Vermutung muss verstärkt in Frage gestellt werden, wenn man die inhärenten "Schwächen" dieser Programme betrachtet, die im folgenden Artikel der Reihe auftauchen werden.