Antivirenprogramme am Ende: Jetzt soll die Cloud schützen

Trend Micro könnte das Problem der riesigen Datenbanken mittels Cloud-Computing lösen. Nur will das Unternehmen nach offizieller Aussage von Whitelisting nichts wissen. Im Laufe der letzten Jahre baute Trend Micro weltweit Server auf, um so einen ständigen Service für seine SaaS-Sicherheitssysteme zu gewährleisten.

Im Juni teilte Trend-Micro-CEO Eva Chen mit, dass es Zeit für einen SaaS-Service auf dem Desktop sei: Die Signatur-Dateien befinden sich nicht auf dem Desktop, sondern auf Servern im Internet. Die Antiviren-Anwendung erhält Ergebnisse aus deren viel größerer Datenbank, in der als bösartig bekannte Schadsoftware gespeichert ist.

Einerseits funktioniert dies schneller, als eine heuristische Sandbox einzurichten und jede einzelne Malware zu testen, auch wenn der Unterschied des Zeitaufwands zwischen den beiden Verfahren nur Nanosekunden beträgt. Doch bei mehreren Millionen Dateien addieren sich andererseits die Nanosekunden.

Statt die Operation auf dem PC selbst durchzuführen, schickt der PC sämtliche unbekannten Dateien an einen Server und erhält die Ergebnisse zeitverzögert zurück. Chen erwähnt noch einen weiteren Vorteil: Neue Schädlinge werden nämlich in Echtzeit übermittelt und daher schnell analysiert. Sie schätzt, dass Trend Micro innerhalb von 15 Minuten eine neue Signaturdatei für eine unbekannte Bedrohung bereitstellen kann.

„15 Minuten“ lautet auch das neue Mantra im Hause Symantec. Tom Powledge, Vice President of Consumer Product Management bei Symantec, sagt, dass die neuen Norton-Produkte für 2009 leichter und schneller sind, da die zahlreichen Kopien der Signaturdatenbank aus früheren Versionen eliminiert wurden.

Außerdem scannen die neuen Produkte nicht mehr jede einzelne Datei. Stattdessen erstellen die Produkte für 2009 einen Vertrauens-Index, das heißt, die Anwendung wird gewisse Dateien, zum Beispiel Fotos oder MP3s, als sauber einstufen, und erst dann wieder prüfen, wenn die Datei geändert wurde.

Powledge zeigte eine Grafik, wonach etwa 70 Prozent der Dateien eines PCs als vertrauenswürdig gelten, daher werden nur die verbleibenden 30 Prozent aktiv gescannt.

Wie Trend Micro experimentiert auch Norton mit schnelleren Ergebnissen bei neuer, unbekannter Schadsoftware. Laut Powledge sollte Norton jedoch nicht nur alle 15 Minuten, sondern bereits nach wenigen Minuten ein Update durchführen. Das ist eine bedeutende Steigerung gegenüber Antivirenprogrammen anderer Anbieter, die nur einmal pro Stunde oder sogar nur einmal pro Tag aktualisiert werden.

Sieht man sich an, wie Trend Micro und Symantec die herkömmlichen Antivirenprogramme weiterentwickelt haben, dann lautet die Antwort auf die Frage, ob die Tage von Antiviren-Anwendungen tatsächlich gezählt sind, ja.

Auf die Frage, ob Whitelists in der Lage sind, den herkömmlichen Antivirenschutz in einigen Unternehmen abzulösen, antwortet Murphy von Bit9 ganz diplomatisch: „Wenn Kunden den Eindruck haben, dass die Whitelists die Sicherheit im Griff haben, dann entfernen sie nach und nach den Virenschutz von ihren PCs.“

Whitelisting wird sich wohl erst noch als Alternative für die Zukunft bewähren müssen. Aber bislang sind Sicherheitslösungen aus dem Unternehmenskontext irgendwann immer auch auf privaten Desktop-PCs gelandet.