Virenscanner - Sinn oder Unsinn?
Was sind "Virenscanner"?
Unter Virenscannern oder Antivirenprogrammen (gelegentlich auch unter dem Begriff "Virenschutz" zu finden), versteht man Software, die bekannte Computerviren, Würmer und Trojanische Pferde aufspürt, blockiert und eventuell beseitigt. Diese Programme arbeiten entweder als Echtzeitschutz ("on-access") bei jedem Zugriff im Hintergrund oder werden manuell gestartet ("on-demand"). Viele Programme bieten auch beide Funktionsweisen. Es gibt eine Vielzahl von derartigen Produkten auf dem Markt, auch einige, die zumindest für private Nutzung kostenfrei erhältlich sind.
Wie arbeiten diese Scanner?
Das Funktionsprinzip ist bei allen Produkten recht ähnlich und beruht auf zwei Strategien:
1. Die signaturbasierte Erkennung: Hierbei wird ein Schädling erst erkannt, wenn eine entsprechende Signatur seitens des Herstellers der Antivirensoftware zur Verfügung gestellt wurde. Dies ist die klassische Art der Virenerkennung, welche schon seit über 20 Jahren verwendet wird. Das beherrscht nahezu jedes Virenschutzprogramm. Der Nachteil ist offensichtlich - der Scanner erkennt nur das, was der Hersteller bereits analysiert hat. Heute verbreitet sich Malware rasend schnell in wenigen Minuten über den ganze Globus. Für die Hersteller der Virenschutzprogramme ist dies das typische Hase-und-Igel-Problem. Der Virus oder Wurm ist eben meist früher beim Anwender, als das Signatur-Update. Vor 20 Jahren, als sich Viren extrem langsam über den Austausch von Disketten oder anderen Datenträgern verbreitet haben, war das alles halb so wild. Doch im Internet-Zeitalter stehen die Chancen der Virenschutzprogramme leider schlecht. Der Vorteil des Verfahrens besteht immerhin darin, dass Fehlalarme (das sind die Fälle, in denen harmlose Software fälschlicherweise als Malware erkannt wird) extrem selten sind.
2. Die heuristische Methode: Dieses System nutzt die Möglichkeit, nach allgemeinen Merkmalen von Malware zu suchen, um unbekannte Viren auf Grund Ihrer typischen Merkmale zu erkennen,nutzen Behavioral Blocking oder sie bringen ein rudimentäres Intrusion Detection System (IDS) mit. Diese Vorgehensweise ist deutlich neuer als die signaturbasierte Erkennung, ihre Wichtigkeit nimmt stetig zu, da die Zeiträume, in denen neue Viren und Varianten eines Virus auf dem Markt drängen, immer kürzer werden. Der große Nachteil dieses Verfahrens besteht in der geringen Trefferquote, die deutlich unter 50% liegt. Zudem kommt es häufig zu den schon genannten Fehlalarmen. Der Vorteil liegt darin, dass zumindest ein kleiner Teil neuer Malware damit identifiziert werden kann. Viel hilft das allerdings auch nicht. Und der Grund ist recht einleuchtend: Wer eine neue Malware in Umlauf bringen will, hat ja ohne Frage die Möglichkeit, sein "Produkt" mit einer großen Zahl von Scannern zu testen und es so lange zu optimieren, bis zumindest die Marktführer darauf nicht mehr anspringen. Die geringe Trefferquote der heuristischen Methode zeigt, dass dies auch zunehmend geschieht.
Mein Virenscanner erkennt aber 99,x%...
...und der weiße Riese wäscht noch weißer als weiß... ;-)
Vorsicht vor den Werbeaussagen der Hersteller! Für Windows-Systeme sind über 60.000 Viren bekannt. Wenn ein Hersteller angibt, davon über 99% zu erkennen, dann besagt das erst einmal gar nichts. Denn der größte Teil dieser Schädlinge ist uralt und in der Praxis praktisch nicht mehr anzutreffen. Die Erkennungsquote für diesen Malware-Zoo ist also ohne jeden Belang. Interessanter ist die Quote bei neuer Malware - aber dazu schweigt sich die Sicherheitsindustrie aus gutem Grund aus. Beim Ausbruch eines neuen Schädlings arbeiten die Hersteller zwar mit Hochdruck an neuen Signaturen. Bis zur Veröffentlichung bleibt aber ein Zeitfenster offen, in dem der Rechner ohne Warnung des Scanners infiziert werden kann.
Hier mal ein Beispiel vom Juli 2008: Als dieser Schädling bei mir aufschlug, hab ich ihn umgehend auf www.virustotal.com hochgeladen, dort kann man eine Datei von einigen Dutzend Virenscannern mit aktuellen Signaturen prüfen lassen. Nicht einmal die Hälfte (!) der Programme hat den Schädling identifizieren können! Erst ein zweiter Versuch einige Tage später brachte dann eine deutlich bessere Erkennungsquote. Weitere Tests mit neuen Viren zeigten sogar noch deutlich schlechtere Ergebnisse. Daran kann man ganz gut erkennen, wie die Werbung der Hersteller von Virenschutzsoftware einzuschätzen ist - nämlich in etwa so, wie die von Waschmittelherstellern.
Soll ich einen Virenscanner nutzen?
Versuchen wir es mit einer Analogie: Sie möchten gerne immer und zu jeder Zeit aus einem Flugzeug aussteigen. Sie wissen natürlich, dass dies keine gute Idee wäre, denn einen Aufprall auf den Boden aus großer Höhe würden Sie kaum überleben. Nun kommen die technischen Hilfsmittel ins Spiel - hier wäre der Fallschirm das Gerät der Wahl. Er bietet Sicherheit, mit seiner Hilfe gelingt die sanfte und gefahrlose Landung. Beim Besuch im Fallschirm-Shop erzählt Ihnen der Verkäufer beim Blick auf das neuste Modell, dass dieses sich garantiert in 90% der Fälle korrekt öffnen wird. ;-)
Wir brauchen dieses Beispiel nicht weiter zu vertiefen. Würde die Fallschirmindustrie die Art von "Sicherheit" anbieten, wie dies die Hersteller von Antivirensoftware tun, alle Fallschirmproduzenten wären längst in den Konkurs getrieben.
Das grundsätzliche Problem liegt somit in folgendem: Angenommen, der Scanner entdeckt 90% der im Umlauf befindlichen Malware (die genaue Prozentzahl mag von Produkt zu Produkt schwanken - aber darauf kommt es auch nicht an), dann entdeckt er eben 10% nicht. Und wenn der Anwender sich so verhält, als habe der Scanner eine Trefferquote von 100%, dann erwischt es ihn eben nur unwesentlich später, als wenn er gar keinen Scanner nutzen würde. Diese Schlussfolgerung ist auch nicht davon abhängig, ob der Scanner nun 90% erkennt oder doch 95% oder gar 99%.
Was lernen wir daraus: Ein Virenscanner erhöht die Sicherheit nicht! Im Gegenteil - er VERRINGERT sie. Denn weil ich mich geschützt glaube, werde ich vielleicht leichtsinniger als ich es ohne VIrenscanner wäre. Zudem öffnen diese Programme nicht selten weitere SIcherheitslücken, im System. Sicherheitsexperten der N.runs AG haben Ende 2007 rund 800 Schwachstellen in Virenschutzprodukten aufgespürt, über die Angreifer Denial-of-Service-Attacken (DoS) betreiben und Firmennetze mit Schadcode verseuchen können. Man sieht, Virenscanner sind nicht nur weitgehen nutzlos, sie öffnen Hackern vielmehr auch noch die Türen.
Da die Erkennungsquote der Virenscanner erheblich unter 100% liegt, brauchen Sie andere Schutzmaßnahmen. Und wenn Sie diese einhalten, dann ist der Virenscanner schlicht überflüssig. Wenn Sie dennoch unbedingt einen nutzen wollen, dann betrachten Sie ihn nicht als Teil einer verlässlichen Sicherheitslösung, sondern als einen vorgelagerten Filter, der Ihnen vielleicht die eine oder andere Malware vom Hals hält, um die Sie sich dann nicht mehr selber kümmern müssen. In etwa vergleichbar mit einem Spamfilter, von dem Sie genau wissen, dass er einiges erkennt, aber vieles an Spam dennoch durchlässt und dabei noch die eine oder andere wichtige Mail frisst.
Im übrigen kommt es durchaus häufig vor, dass diese sogenannte "Sicherheitssoftware" Ihr Windows-System komplett zerlegt, weil eine Windows-Systemdatei fälschlicherweise als Bedrohung eingestuft wird und daraufhin gelöscht oder in ein Quarantäne-Verzeichnis verschoben wird. Die Folge ist dann, dass Windows nicht mehr startet. Ein paar dieser Fälle aud der letzten Zeit finden Sie hier, hier und hier. Das sind lediglich einige Beispielfälle und damit nur die Spitze eines überaus ärgerlichen Eisbergs. Fehlalarme durch Antiviren-Software sind zu einer echten Plage geworden.
Zu guter letzt sollten Sie noch bedenken, dass es bei den angebotenen Scannern nicht nur eine große Preisspanne gibt (von "kostenlos" bis "sehr teuer"), sondern auch deutliche Unterschiede in der Frage, wie groß die Belastung des Systems durch diese Programme ist. Gerade auf nicht mehr ganz taufrischen PCs ist es nützlich, wenn der Virenscanner nicht zu viel Systemlast erzeugt. Und wenn Sie dann doch irgendwann zu der Erkenntnis kommen, diese Software nicht mehr zu benötigen, dann ist es vorteilhaft, wenn sich der Scanner wieder rückstandsfrei entfernen lässt.
Empfehlungen (im Sinne von "kleinstem Übel") finden Sie unter der Rubrik "Links" auf dieser Website.
Fazit:
- "Virenscanner" arbeiten prinzipbedingt unzuverlässig!
- Neue Malware trifft in der Regel vor dem Signaturupdate bei Ihnen ein.
- Heuristische Suchmethoden finden nur einen von drei Viren.
- "Virenscanner" liefern häufig Fehlalarme.
- "Virenscanner" können im ungünstigsten Fall Ihr System ruinieren.
- Sie sind daher kein verlässliches Sicherheitskonzept!