Antivirenprogramme am Ende: Jetzt soll die Cloud schützen

Klassische Antivirenprogramme können vor moderner Malware nicht mehr schützen. Das bedeutet im Endeffekt, dass man sich ihre Installation auch sparen kann. Ein Antivirenprogramm bietet einen Sicherheitsstandard, der in etwa dem entspricht, den Tresor einer Bank mit einem Vorhängeschloss an einer Holztür zu schützen.

Das Interessante an diesen Aussagen ist, dass sie nicht etwa von Antivirenprogramm-Testern, beispielsweise AV-Comparatives, stammen, sondern von den Herstellern der Antiviren-Lösungen selbst. In den letzten Monaten war dort häufig die Aussage zu hören, dass Virenschutzprogramme bald der Vergangenheit angehören.

Die Hersteller haben die Programme zwar noch nicht über Bord geworfen, sind aber der Meinung, dass die Tage gezählt sind, in denen man eine Anwendung auf dem Computer installiert, die ihn nach zu entfernender Schadsoftware durchsucht. Die Schadsoftware hat sich in den letzten Jahren verändert, die Antivirenprogramme dagegen nicht.

Antivirenprogramme, wie wir sie heute kennen, verwenden allesamt einen Musterabgleich. Das war zu Zeiten des Michelangelo-Virus und vielleicht auch noch bei Netsky ein effizientes Verfahren. Doch jede Datei auf einem Computer mit einer Liste bekannter Schadsoftware abzugleichen, ist nicht nur mühsam, sondern auch nicht mehr zeitgemäß.

2007 entdeckte Symantec über eine Million Viren, und nur ein Drittel der Viren hatte es bereits 2006 oder noch früher gegeben. Eine Million Signaturen zu laden, ist kein einfaches Unterfangen. Der eigene Desktop verwendet einen Großteil der Rechenleistung nur für die Suche nach Schadcode-Signaturen in ausgeführten Programmen. Er wird schlicht und einfach langsamer.

Die Malwareprogrammierer hingegen haben ihre Programme längst mit Tarnmechanismen ausgestattet, die per Mausklick dazu führen, dass sich ihr „Aussehen“ verändert. Ohne großen Aufwand können täglich neue Tarnungen installiert werden, die die Schädlinge vor Entdeckung schützen.

Ein Lösungsansatz ist die verhaltensbasierte Erkennung. Dabei untersucht die Antivirenlösung, ob ein Programm auffällig viele Registry-Einträge verändert, Verbindungen ins Internet aufbaut oder gar den Boot-Sektor der Festplatte manipuliert.

Ein Test von AV-Comparatives im Mai 2008 erzielt allerdings keine guten Ergebnisse: F-Secure erkennt gerade einmal 6 Prozent aller untergeschobenen Malware. Sophos Anti-Virus identifiziert immerhin 74 Prozent, löst dabei jedoch über 400 Fehlalarme aus. Am besten schneidet Avira AntiVir ab. Es benennt immerhin 72 Prozent aller Schädlinge korrekt und schlägt nur achtmal Fehlalarm.

Gut ist aber auch das Ergebnis von Avira nicht. Über ein Viertel aller Malware erreicht den Testrechner unerkannt. Verhaltensbasierte Erkennung kann nicht funktionieren. Der Grund ist einfach: Einträge in der Windows-Registry und der Aufbau von Verbindungen ins Internet sind nichts Ungewöhnliches. Die Unterscheidung zwischen „guten“ und „bösen“ Registry-Einträgen ist einer Antivirenlösung in vielen Fällen nicht möglich. Das gleiche gilt für gute und böse Internetverbindungen.

Lediglich vor Rootkits bietet die verhaltensbasierte Erkennung einen guten Schutz. Gegen alle anderen Arten von Malware nutzt sie nur wenig. Fehlalarme gehören zur Tagesordnung.