Kampf gegen Malware: Was bringen Nutzereinschränkungen?

Virenscanner verlieren zunehmend an Effektivität. In den Labors von F-Secure werden täglich 1500 neue Schadprogramme entdeckt. Wirklich neu sind sie allerdings nicht. Meist handelt es sich um neu getarnte Viren, die mit anderen Verschlüsselungs- und Kompressionsalgorithmen versuchen, unentdeckt zu bleiben.

Selbst Mikko Hyppönen, Chief Research Officer bei F-Secure, glaubt nur einen Teil der täglich neu getarnten Schädlinge zu erkennen zu können, sagt er im Gespräch mit ZDNet. Eine nicht unerhebliche Anzahl passiert die Antivirensoftware unentdeckt.

Hyppönen ist froh, nun über eine neue Engine zu verfügen, die ein Vielfaches an Geschwindigkeit bringt – bei gleichzeitig geringerem Speicherbedarf. Doch auch er weiß, dass die Anzahl der Schadprogramme derzeit schneller steigt als die Rechenleistung. Dadurch, dass jedes Bit, das zum Rechner kommt oder den Rechner verlässt. auf eine immer höhere Zahl von Signaturen getestet werden muss, wird der Rechner zunehmend langsamer, da Malwarebekämpfung einen steigenden Anteil der Gesamtrechenleistung in Anspruch nimmt. Die dem Anwender verbleibende Nutzleistung sinkt.

Um dem Dilemma der ständig steigenden Zahl der Schadprogramme zu entkommen, versuchen die Antivirenhersteller, verhaltensbasierende Ansätze in ihre Lösungen einzubauen. Die funktionieren nach einem Punktesystem. Für bestimmte Aktionen, etwa das Installieren eines Dienstes, das Öffnen von EXE-Dateien oder TCP-Verbindungen zu Port 25, werden Punkte vergeben. Überschreitet die Gesamtpunkzahl eines Programms einen Schwellenwert, so wird die Software als Malware eingestuft.

Als zuverlässige Lösung kann ein verhaltensbasierter Ansatz allerdings nicht dienen. Beispielsweise dient das Shareware-Programm Direct Update dazu, Updates an dynamische DNS-Server zu schicken. Diese Funktionalität benötigen Nutzer von DSL-Anschlüssen, deren IP-Adresse sich täglich ändert, wenn sie ihr Netzwerk zuhause von unterwegs erreichen möchten.

Das Programm installiert sich als Dienst, nutzt das SMTP-Protokoll auf TCP-Port 25 zur Erkennung, ob sich die eigene IP-Adresse geändert hat, und kann darüberhinaus E-Mails versenden, wenn bestimmte Ereignisse eintreten. Verhaltensbasierte Antivirensoftware erkennt das Programm sofort als Schädling. Auch hier gilt, dass Benutzer überfordert sind, wenn sie per Mausklick entscheiden sollen, ob das installierte Programm nun Malware oder Goodware ist.

Völlig überbewertet wird die Frage, ob man an seinem Computer nun mit Administrator-Rechten arbeitet oder nicht. Versucht man es ohne, so kommt man oft nicht weit. Unter Windows XP mussten Installationsprogramme mit „Run as“ gestartet werden. Unter Windows Vista nervt die Benutzerkontensteuerung. Im Endeffekt führt die Benutzerkontensteuerung nur dazu, dass Anwender ohne weiteres Nachdenken auf „Erlauben“ klicken. Der Abstumpfungseffekt ist unausweichlich.

Firmen, die ihren Anwendern auf Arbeitsplatzrechnern keine lokalen Administratorrechte einräumen, müssen damit leben, dass Benutzer keine weitere Software installieren können und auch sonst in vielfältiger Weise beschränkt sind; es sei denn, ein Systemadministrator hat genügend Zeit, durch die Büros zu laufen und Aktionen mit seinem Password zu bestätigen.

Hinzu kommt, dass weder Spyware noch Botnet-Software Administratorrechte benötigt. Der Aufbau einer TCP-Verbindung kann von jedem Benutzer vorgenommen werden. Entsprechende Malware ist bereits angepasst, noch bevor Vista einen signifikanten Marktanteil erreicht hat. Während zu Zeiten von Windows XP Benutzer ohne lokale Administrationsrechte tatsächlich einen gewissen Schutz genossen, ist mittlerweile viel Malware im Umlauf, die diese Rechte gar nicht benötigt und selbstverständlich auch auf Windows XP und früher läuft.

Microsoft gibt oft in sich widersprüchliche Statements zur Benutzerkontensteuerung ab. So sei glücklicherweise die Anzahl von Programmen gestiegen, die ohne Administratorrechte und UAC-Meldung auskommen. Allerdings gilt das für alle Programme, auch Malware.