Über den Nutzen von Virenscannern

Was sind bzw. machen Virenscanner?

Virenscanner sollen Programme, die für den Rechner schädlich sind erkennen, deren Ausführung verhindern und eventuell, wenn ein Befall mit Schadsoftware erkannt wurde, den Rechner wieder säubern. Zu solchen Programme zählen Viren, Würmer und Trojaner. Zusammenfassend bezeichnet man solche Software auch als Schadsoftware oder auch auf englisch als Maleware. Virenscanner bieten in der Regel einen so genannten Echtzeitschutz an, der bei jeden Zugriff auf eine Datei diese im Hintergrund untersucht. Man kann aber auch die Suche nach Schadsoftware auf dem Rechner manuell starten.

Arbeitsweise von Virenscannern

Es gibt zwei Möglichkeiten, wie Virenscanner Schadsoftware erkennen können:

  1. Erkennung über Signaturen
  2. Erkennung mit Hilfe von Heuristik

Erfolgt die Erkennung über Signaturen, sucht der Virenscanner in den Dateien nach Signaturen, die die Datei als Schadsoftware kennzeichnen. Dabei liegen die Signaturen in einer Datei vor, die regelmäßig aktualisiert werden muss. Und hier zeigt sich schon der Nachteil dieser Methode. Da immer etwas Zeit vergeht, bis nach dem Auftauchen einer neuen Schadsoftware die Signaturen aktualisiert sind, ist der Rechner für diese Zeitspanne gegenüber der neuen Schadsoftware ungeschützt. Erst wenn die Signatur aktualisiert wurde und die neue Schadsoftware erkannt werden kann, ist der Schutz wieder hergestellt. aber dann kann es schon zu spät sein. Der Virenscanner hat versagt.

Bei der Erkennung mit Hilfe von Heuristik wird nach allgemeinen Merkmalen bzw. Verhaltensweisen von Schadsoftware gesucht. Dies ist insofern ein Fortschritt, als dass neue Schadsoftware in immer kürzeren Zeitspannen in Umlauf kommen und man mit dem Aktualisieren der Signaturen kaum noch hinterher kommt. Man hat also auch die Chance noch unbekannte Schadsoftware aufzuspüren. Allerdings liegt die Trefferquote bei diesem Verfahren wohl um die 50% - ist also recht bescheiden. Hinzukommt, dass es auch mehr oder weniger häufig zu Fehlalarmen kommt. Also auch Programme, die keine Bedrohung für den Rechner darstellen, als Schadsoftware erkannt werden. Dies erhöht natürlich nicht unbedingt das Vertrauen in solche Software, die den Rechner eigentlich schützen sollte. Zu mal Programmierer von Schadsoftware ja die Möglichkeit haben ihre Programme mit Virenscanner zu testen und ihre Schadsoftware dann dahingehend optimieren können, dass die Heuristik der Virenscanner nicht mehr drauf anspricht.

Erkennungsrate von Virenscannern und was sie bedeutet

Hersteller von Antivirensoftware werben immer damit wie viel Prozent aller Viren sie erkennen. Meist liegt die Angabe bei 90 und mehr Prozent. Aber wie ist diese Angabe zu beurteilen? Man kann sie im Grunde genommen genauso bewerten wie die Werbung für jedes andere x-beliebige Produkt auch. Man sollte sie kritisch bewerten und immer bedenken, dass auch Hersteller von Antivirensoftware ihre Produkte verkaufen wollen. Hinzukommt, dass natürlich auch Schadsoftware darunter fällt, die schon lange nicht mehr aktuell ist und realistisch gesehen eigentlich keine Bedrohung mehr darstellt, eben weil sie von Virenscanner erkannt wird. Bleibt der Prozentsatz, der nicht erkannt wird. Volker Söhnitz zieht in seinem Artikeln zum Thema der Vergleich zu Herstellern von Fallschirmen. Würde sie damit werben, dass er sich in 90% aller Fälle öffnet, würde sie wahrscheinlich keinen einzigen verkaufen. (Aber anscheinend öffnen sie sich wohl in nahe zu 100% aller Fälle.)

Viel mehr von Bedeutung ist der Prozentsatz, der erkannt wird, bei neuen Schädlingen. Nur darüber machen die Hersteller keine Angaben. Der Grund ist klar, weil dann deutlich würde wie schlecht in diesen Fällen die Erkennungsrate ist und niemand würde deren ihre Produkte kaufen. Wird neue Schadsoftware bekannt, versuchen die Antivirensoftwarehersteller zwar so schnell wie möglich ihre Signaturen zu aktualisieren, aber bis dies geschehen ist und bis der Scanner die aktuelle Version der Virensignatur hat vergeht immer etwas Zeit. In dieser Zeitspanne kann die neue Schadsoftware den Rechner unbemerkt infizieren. Wenn er dann vom Virenscanner entdeckt wird, ist es schon zu spät.

Gefahren die von Virenscanner ausgehen

Der Einsatz von Virenscanner birgt auch Gefahren. So ist es nicht nur einmal vorgekommen, dass sie wichtige Systemdateien als Schadsoftware bzw. als infiziert erkannt haben. Wird diese Systemdatei dann gelöscht oder in die Quarantäne verschoben, kann es passieren, dass das Betriebssystem nicht mehr startet. Und dann hat man ein Problem, welches man ohne den Einsatz von Virenscanner nicht hätte.

Des weiteren greifen Virenscanner mitunter recht tief in das System ein. Sie installieren Treiber und/oder Hooks. Was dazu führen kann, dass sie zusätzliche Sicherheitslücken schaffen. Und wenn man zudem noch als Administrator arbeitet, kann die Schadsoftware einfach den Virenscanner abschalten oder unbrauchbar machen.

Und nicht zu letzt wiegen sie den Anwender in eine trügerische Sicherheit. Virenscanner erkennen nun mal nicht 100% aller Schadsoftware. Verhält sich der Anwender aber so als wenn sie es täten, infiziert der Anwender seinen Rechner langfristig doch mit Schadsoftware, nur wahrscheinlich eben etwas später als wenn er keinen benutzen würde und entsprechend vorsichtig handeln würde.

Soll man einen Virenscanner dennoch einsetzen?

Ja man kann einen Virenscanner zur zusätzlichen Absicherung einsetzen. Man sollte sich aber immer bewusst sein, dass er keinen absoluten Schutz bietet. Und man immer noch seinen Verstand einsetzen sollte, wenn man am Computer arbeitet. Betrachtet man einen Virenscanner als Teil eines Sicherheitskonzeptes und nicht als das Sicherheitskonzept, kann er durch aus nützlich sein.

Geht es auch ohne Virenscanner?

Wenn man einige Punkte beachtet, geht es auch ohne Virenscanner:

Was tun, wenn der Rechner dennoch infiziert wurde?

Wurde der Rechner trotz Einsatzes eines Virenscanners infiziert, was, wie wir gesehen haben, nicht so unwahrscheinlich ist, hilft nur eins: Festplatte formatieren und das Betriebssystem neu installieren. Alle Versprechen von Antivirensoftware, die versprechen, dass sie das System wieder bereinigen können, kann man und sollte man nicht trauen. Den wie schon gesagt, erkennt Antivirensoftware nur schon bekannte Schadsoftware. Aber wer sagt mir, dass die erkannte Schadsoftware nicht schon neue noch unbekannte Schadsoftware aus dem Internet nachgeladen hat? Letztendlich ist das System nicht mehr vertrauenswürdig und muss deshalb zwingender maßen neu installiert werden. Etwas schneller geht es, wenn man so weitsichtig war und von dem sauberen System ein Abbild erstellt hat, dass man wieder zurück schreiben kann. Aber man sollte sicher sein, dass die Schadsoftware keinen Zugriff auf das Systemimage hatte. Das Betriebssystem neu zu installieren, empfiehlt auch Microsoft auf dieser Seite selber: Microsoft Security Tool Kit: Kompromittierte Systeme [http://www.microsoft.com/germany/technet/datenbank/articles/600230.mspx].

Weiterführende Links und Quellen

2015-09-18T03:54:00 +0200, mail[at]michael[Bindestrich]puff.de