Die moderne Anti-Virus-Industrie und ihre Problemfelder

Den gegenwärtigen Zustand des Internets kann man nicht anders als kriminalisiert bezeichnen. Ständige Viren- und Trojaner-Attacken terrorisieren praktisch alle Internet-Anwender: Heimanwender, kleine und mittlere Unternehmen, Großunternehmen und staatliche Institutionen. Über die Gründe dieser Kriminalisierung wurde und wird viel geredet – alles in allem ist es reine Profitgier. Konkreter? Es geht um Personen, die durch die Entwicklung und Verbreitung von Schadprogrammen auf illegalem Weg Geld machen. Also:

  • der Diebstahl persönlicher und Unternehmens-Bankdaten (über den Zugang zu Bankkonten privater Anwender und Unternehmen);
  • der Diebstahl von Kreditkarten-Nummern;
  • Netzwerk-Attacken (DDoS-Attacken) mit nachfolgender Erpressung, damit die Attacken beendet werden (moderne Schutzgelderpressung)
  • Aufbau von Trojaner-Proxy-Server-Netzen für Spam-Versand (und kommerzielle Nutzung dieser Netze)
  • Aufbau von Zombie-Netzen (Botnets) mit unterschiedlichsten Verwendungszwecken;
  • Entwicklung von Programmen, unerwünschte Reklame herunterladen und installieren (Adware)
  • Trojaner-Programme, die ständig kostenpflichtige (und teure) Telefonnummern wählen (Dialer) usw.

Eine Bewertung der Tragweite der Tätigkeit moderner Cyber-Verbrecher ist ziemlich schwer. Mir scheint, dass im Computer-Underground Dutzende (wenn nicht gar Hunderte) von Hacker-Gruppierungen und Hacker-Einzeltäter aktiv sind. Die Zahl der Hacker und ähnlicher Gruppierungen kann man wahrscheinlich mit Tausenden beziffern, wovon Polizeiberichte praktisch aus allen computerisierten Ländern der Welt zeugen. In den vergangenen zwei Jahren wurden mehrere Dutzend Hacker und Hacker-Gruppen verhaftet, insgesamt einige hundert Personen. Dies hatte bislang jedoch keinen wesentlichen Einfluss auf die Anzahl neuer Viren und Trojaner.

Die Schattenseite des Computer-Business lässt sich nur allgemein bewerten. Laut öffentlicher Quellen stahlen oder erpressten Hacker in den Jahren 2004 –und 2005 einige hundert Millionen Dollar. Berücksichtigt man, dass die Mehrheit der Computer-Kriminellen bis jetzt auf freiem Fuß sind, kann man annehmen, dass die tatsächlichen „Umsätze“ des Computer-Underground jährlich in Milliarden Dollar gemessen werden können (das liegt weit über den Umsätzen der Anti-Virus-Unternehmen, aber mehr dazu später).

Der weltweite wirtschaftliche Gesamtschaden, der durch die Tätigkeit dieser „bösartigen Genies“ entstanden ist, überschreitet jährlich bereits Dutzende Milliarden Dollar und steigt weiter. Nach Einschätzung des Marktforschungsunternehmen „Computer Economics“ betrug der Schaden 2004 fast 18 Milliarden Dollar bei einer jährlichen Wachstums-Tendenz von 30-40 Prozent.

Die derzeitige Kräfteverteilung in der Computer-Gemeinschaft sieht ungefähr folgendermaßen aus:

  • Virenschreiber und Hacker, die zum eigenen Profit Computer-Viren und Trojaner-Programme entwickeln und verbreiten;
  • Anwender, die ständig der Bedrohung durch Hacker- und Virenattacken ausgesetzt sind und häufig Opfer erfolgreich geplanter Hacker-Aktionen werden;
  • die Polizei, die mit wechselnden Erfolgen gegen Computer-Verbrecher ermittelt;
  • und letztlich die Antivirus-Unternehmen, die universelle und/oder spezielle Mittel zum Kampf gegen das Computer-Verbrechen entwickeln.

Über Viren, Hacker, ihre Verbreiter und die sie verfolgenden „kompetenten Organe“ ist viel bekannt und, und es werden sogar Filme zu diesem Thema gedreht. Mit den Errungenschaften im Anti-Viren-Kampf glänzen die Webseiten der entsprechenden Hersteller. Informationen über die Probleme der Anti-Virus-Unternehmen jedoch liegen keine umfassenden vor. Genau diesem Thema, den Problemen der modernen Antivirus-Industrie, ist dieser Artikel gewidmet.

Kurzübersicht über die Antivirus-Industrie

Sprechen wir zu Beginn ein wenig über die Unternehmen, die Präparate gegen „Computer-Ungeziefer“ herstellen, und über Lösungen für Desktop-Computer, Datei- und Mail-Server sowie Netzwerkknoten (über nicht-standardisierte Mittel dann ein wenig später).

Insgesamt wird das Marktvolumen der Anti-Viren-Industrie 2003 mit 2,7 Mrd. USD und 2004 mit 3,3 Mrd. USD beziffert, für 2005 werden 3,8 Mrd. USD prognostiziert (Quelle: IDC, 2005). Sämtliche Hersteller werden ihrem Umsatz und ihrem Marktanteil nach eingeteilt. Die letztgenannten Unternehmen ragen in der Anti-Virus-Landschaft kaum heraus.

Zu den global führenden Unternehmen gehören die folgenden:

Unternehmen Umsatz, in Mio. USD
2003 2004
Symantec (USA) 1098 1364
McAfee (USA) 577 597
Trend Micro 382 508

Dieses Trio hält praktisch weltweit die Führungspositionen, außer einigen Ausnahmen (beispielsweise dominiert auf dem japanischen Markt Trend Micro). Die ersten beiden sind nordamerikanische Unternehmen, Trend Mirco kam ursprünglich aus Taiwan, ging in Japan an die Börse und hat seinen Hauptsitz jetzt in den USA.

Es folgen Unternehmen, deren Umsätze wesentlich niedriger als die des Führungstrios sind:

Unternehmen Umsatz, in Mio. USD
2003 2004
Sophos (England) 97 116
Panda Software (Spanien) * 65 104
Computer Associates (USA) 61 74
F-Secure (Finnland) 36 51
Norman (Norwegen) 23 31
AhnLab (Südkorea) 21 28
* Panda Software ist eine nicht öffentliche Aktiengesellschaft, und die ausgewiesene Finanz-Information ist nicht auditiert.

Kaspersky Lab (Russland) gehört ebenfalls zu den Unternehmen auf den Verfolgerplätzen, legt als eigentümergeführtes Unternehmen seine Finanzlage jedoch nicht öffentlich dar.

Die Mehrheit der oben aufgezählten Unternehmen hat große Bedeutung auf ihren jeweiligen eigenen lokalen Märkten. Sophos ist zum Beispiel am erfolgreichsten in Großbritannien, Panda in Spanien, F-Secure in Skandinavien und Kaspersky Lab in Russland usw.

Es gibt einige Dutzend weitere Anti-Virus-Produkte. Die bedeutendsten unter ihnen sind wahrscheinlich folgende:

  • Alwil — Awast (Tschechien)
  • Arcabit — MKS (Polen)
  • Doctor Web — DrWeb (Russland)
  • ESET — NOD32 (Slowakei)
  • Frisk Software — F-Prot (Island)
  • GriSoft — AVG (Tschechien)
  • H+BEDV — AntiVir (Deutschland)
  • Hauri — VI Robot (Südkorea)
  • SoftWin — BitDefender (Rumänien)
  • VirusBuster — VirusBuster (Ungarn)

sowie die ukrainischen Unternehmen UNA und Stop!, die chinesischen Rising und KingSoft und andere.

Die Mehrheit dieser Unternehmen veröffentlicht ihre Finanzen nicht, jedoch dürften ihre Umsätze kaum mehr als 10 Mio. USD oder weniger betragen.

Das ist also die Verteilung der Marktanteile unter den bedeutenden Anti-Virus-Playern. An dieser Stelle möchte ich bemerken, dass einige Unternehmen, deren Produkte auf lizenzierter Technologie basieren, nicht genannt wurden. Hierunter fallen zum Beispiel das deutsche Unternehmen G Data, dessen Antivirus-Lösung auf Kaspersky Lab-Technologie fußt, sowie SoftWin und auch Microsoft, die Lösungen mit mehreren, von Sybari entwickelten Kerneln anbieten.

Darüber hinaus existieren verschiedene nicht-standardisierte Anti-Viren-Schutzmaßnehmen, von denen einige ziemlich exotisch anmuten. Beispielsweise das „Entfernen allen Überflüssigen“ aus der Unternehmens-E-Mail-Flut (der Anwender erhält faktisch nur E-Mails ohne Anhänge und HTML-Skripte), das Starten des Webbrowsers aus einer virtuellen Maschine usw. Es gibt außerdem eine Reihe Lösungen, die den Anti-Virus-Produkten ziemlich nahe kommen, jedoch keine „echten“ Anti-Virus-Produkte sind – wie beispielsweise Schutzsysteme vor DDoS-Attacken, „Patch-Management-Produkte“ und andere.

Hauptprobleme der Antivirus-Industrie

Was kann es bei den Anti-Virus-Programmen außer den gewöhnlichen Marketing-Konfrontationen für Probleme geben? Es gibt Viren – und es gibt Anti-Viren-Tools, die sie abfangen. Auf den ersten Blick sind Anti-Viren-Programme längst gewöhnliche Gebrauchsgüter, die sich praktisch nicht von ihren Konkurrenzprodukten unterscheiden. Sie werden ihrer schöneren Verpackung wegen gekauft, weil das Produkt erfolgreicher beworben wurde oder aus anderen nicht technischen Gründen. Anti-Viren-Programme müssten also eigentlich schon längst zu den „commodity“-Produkten für den Massenverbrauch zählen, etwa wie Waschpulver, Zahnbürsten oder Autos.

Glücklicherweise ist das nicht ganz so. Häufig fällt die Wahl auf eine bestimmte Anti-Viren-Lösung nicht augrund ihrer bunten Verpackung, ihres Preises oder erfolgreicher Werbung, sondern aufgrund der technischen Merkmale, die sich bei verschiedenen Anti-Viren-Produkten doch recht stark voneinander unterscheiden. Die wichtigste Frage ist: vor welchen Computergefahren genau schützt eine Lösung und wie hoch ist die Qualität des gebotenen Schutzes?

Ein Anti-Viren-Programm sollte vor allen Malware-Arten schützen.

Ein Anti-Viren-Programm sollte vor allen Malware-Arten schützen. Je besser es diese Aufgabe erfüllt, umso ruhiger lebt der Computer-Nutzer, und auch der System-Administrator kann länger und besser schlafen. Fängt Anti-Viren-Produkt X etwa 50% der im Moment aktuellen Viren ab, Produkt Y 90% und Produkt Z 99,9%, so kann man sich leicht ausrechnen, dass im Ergebnis von N Attacken der Computer entweder unbeschädigt bleibt oder infiziert wird. Wurde der Computer 10 Mal attackiert, ist die Wahrscheinlichkeit, dass Produkt X durchfällt praktisch garantiert (zu 99,9%), für Produkt Y ist dies mehr als wahrscheinlich (65%), und für Produkt Z ist die Wahrscheinlichkeit mit nur 1% gering.

Leider gewährleisten längst nicht alle Anti-Viren-Produkte auf dem Markt einen annähernd 100-prozentigen Schutz – die meisten garantieren nicht einmal eine 90-prozentige Abwehr! Und darin besteht das Hauptproblem der Anti-Viren-Unternehmen zum heutigen Tage.

Problem 1

Die Anzahl und Vielfalt der Schadprogramme wächst unentwegt Jahr für Jahr. Das Ergebnis ist, dass viele Anti-Viren-Unternehmen dieser Flut nicht Herr werden können und den Viren-Wettlauf verlieren, wodurch die Anwender dieser Programme längst nicht vor allen modernen Computergefahren geschützt sind. Man kann leider nicht alle Produkte der Anti-Viren-Unternehmen tatsächlich als Anti-Viren-Programme bezeichnen.

Vor fünf bis zehn Jahren konnte man noch sagen, dass es nicht erforderlich ist, sich vor neuen Viren und Trojanern zu schützen. Die meisten kommen ohnehin nicht auf den Computer des Anwenders, denn sie wurden von jugendlichen Hooligans geschrieben, die neugierig auf das Ergebnis waren oder sich selbst bestätigen wollten. Man musste sich lediglich vor den wenigen ITW-Viren (in-the-wild) schützen, die auf die Rechner gelangen konnten. Heutzutage ist das nicht mehr so. Die überwiegende Mehrheit (über 75%) der Schadprogramme werden vom kriminellen Computer-Underground erstellt, um eine bestimmte Anzahl Computer im Netz zu infizieren. Die Zahl neuer Viren und Trojaner beläuft sich täglich auf Hunderte (es unser Virenlabor erreichen täglich etwa 200-300 neue Samples).

Die Anzahl und Vielfalt der Schadprogramme wächst unentwegt Jahr für Jahr. Das Ergebnis ist, dass viele Anti-Viren-Unternehmen dieser Flut nicht Herr werden können.

Diese Viren-Samples kommen aus verschiedenen Quellen ins Labor: von automatischen „Honeypots“ (einem speziell geschaffenen Konzept zur Sammlung schädlicher Dateien im Netz), von infizierten Anwendern, von Administratoren lokaler Netze, von Internet-Providern und von anderen Anti-Virus-Unternehmen. Ungeachtet der Marketing-Schlacht zwischen den Konkurrenten arbeiten die Anti-Virus-Unternehmen eng zusammen. Wird ein neuer, gefährlicher, sich schnell verbreitenden Wurm entdeckt, benachrichtigen die Anti-Virus-Unternehmen praktisch in diesem Moment ihre Konkurrenz und schicken ihnen ein Virus-Sample Mindestens einmal pro Monat senden die Anti-Virus-Unternehmen den Kollegen bei der Konkurrenz ihren „Fang“. Außerdem erfolgt ein Informationsaustausch auf Konferenzen „unter Ausschluss der Öffentlichkeit“. Nennen Sie es wie Sie wollen – wenn sie möchten gerne „professionelle Ethik“ – aber eine Informations-Eingrenzung auf dem Anti-Virus-Gebiet gibt es nicht (ausgenommen der ausgestoßener Unternehmen, die ihre Reputation durch unsittliche Handlungen verloren haben).

Also, ein neues Exemplar eines Virus oder Trojaner wird im Netz oder auf einem infizierten Computer aufgefunden. Was bedeutet das? Na, dass die Wahrscheinlichkeit, sic dieses Vieh einzufangen, bei Weitem nicht gleich Null ist. Es ist auch nicht ausgeschlossen, dass im Netz bereits Dutzende, Hunderte oder vielleicht schon Tausende Anwender infiziert sind. Wenn der neue Schädling ein Internet-Wurm ist, kann sich die Zahl der Opfer sogar auf Millionen belaufen. Das Internet st eben einfach ein Hochgeschwindigkeits-Ding… Anti-Virus-Unternehmen müssen im Augenblick der Entdeckung neuer Viren und Trojaner Updates veröffentlichen – und darin besteht das zweite Problem.

Problem 2

Die Verbreitungsgeschwindigkeit moderner Schadprogramme zwingt Anti-Virus-Unternehmen, so oft es geht, Updates herauszugeben, um ihre Anwender maximal schnell vor neu aufgefundenen Computer-‚Krankheiten“ zu schützen. Leider sind längst nicht alle Anti-Virus-Unternehmen ausreichend fix und die Updates erreichen ihre Kunden zu spät.

Nehmen wir an, ein schädlicher Virus dringt ungeachtet aller installierten Schutzmauern ins System ein und macht sich dort breit. Der installierte, nicht sehr aufmerksame Viren-Wächter, hat nichts Verdächtiges bemerkt oder der Anwender war zu faul regelmäßig die Anti-Viren-Dateien herunterzuladen. Früher oder später erreichen die Updates den Anwender, und der Virus wird aufgefunden. Aber er wird nicht besiegt, denn dazu müssten alle infizierten Dateien korrekt aus dem System gelöscht werden. Das Schlüsselwort hierbei lautet ‚korrekt“, und darin versteckt sich das nächste Problem der Anti-Virus-Programme.

Problem 3

Problem Nummer 3 bezieht sich auf das Löschen eines aufgefundenen Schadcodes aus einem infizierten System: Häufig beginnen die Viren und Trojaner bestimmte Handlungen auszuführen, um sich im System zu tarnen, und/oder sie dringen derartig tief ein, dass die Aufgabe sie da wieder herauszukriegen nicht gerade trivial ist. Manchmal sind die Anti-Virus-Programme leider nicht in der Lage, den Bösewicht erfolgreich und ohne Nebenwirkungen aus dem Verkehr zu ziehen und die Wunde zu verbinden.

Außerdem: Jedes beliebige Programm benötigt Computer-Ressourcen, und Anti-Virus-Programme bilden dabei keine Ausnahme. Um Computer durch zu schützen sind einige Handlungen durch ein Anti-Virus-Programm erforderlich: Öffnen der Dateien, Lesen der darin enthaltenen Informationen, Öffnen und Überprüfen der Archivdateien usw. Je sorgfältiger Dateien überprüft werden, umso mehr Ressourcen werden in Anspruch genommen (das ist vergleichbar mit einer Eisentür: je dicker die Tür, desto besser der Schutz, aber umso schwieriger geht sie auch auf und zu). Das Ergebnis ist

Problem 4

… die Ressourcen-Auslastung. Leider ist dieses Problem nicht lösbar. Wie die Praxis zeigt, sind alle „extrem“ schnellen Anti-Virus-Programme sehr löchrig und lassen Viren und Trojaner durch wie ein Sieb. Anders herum ist es allerdings nicht besser: nicht alle „lahmen“ Anti-Virus-Programme schützen Sie ausreichend gut.

Um Dateien „on the fly“ zu überprüfen und den Computer permanent zu schützen, müssen Anti-Virus-Programme recht tief im System-Kernel verankert sein. Anders ausgedrückt: die Wächter der Anti-Viren-Programme, die die Ereignisse im System überwachen, müssen tief „drinnen“ in den Kernel-Schichten installiert sein. Sie übermitteln die Ergebnisse ihrer Arbeit an die Anti-Virus-Engine, die wiederum die abgefangenen Dateien, Netzpakete und andere potentiell gefährliche Objekte überprüft.

Nicht immer kann man jedoch in der erforderlichen Schicht des Betriebssystem-Kernels zwei Wächter installieren. Ergebnis ist die Inkompatibilität der permanent arbeitenden Anti-Virus-„Monitore“: dem zweiten Anti-Virus-Programm gelingt es entweder nicht, System-Ereignisse abzufangen, oder aber der Versuch eines doppelten Abfangens führt zum Absturz des Systems. Darin liegt das folgende Problem.

Problem 5

Die technologische Inkompatibilität verschiedener Anti-Virus-Programme untereinander. In der Mehrheit der Fälle ist die Installation zweier verschiedener Anti-Virus-Programme auf einen Computer (um eine „doppelte Sicherheit“ zu gewährleisten) aus technischen Gründen nicht möglich. Die Programme vertragen sich einfach nicht miteinander.

Häufig hört man, dass die Anti-Virus-Unternehmen sich wie Bären in einer Höhle benehmen, dass die Inkompatibilität verschiedener Anti-Virus-Programme auf einem Computer unlauterer Wettbewerb sei und eine Marketingaktion mit dem Ziel, alternative Lösungen vom Markt zu verdrängen. So ist das nicht. Im Gegenteil: die Entwickler setzen alles daran, damit keine Konflikte mit den gängigsten Programmen (einschließlich Anti-Virus-Programmen) auftreten.

Das sind meiner Meinung nach die Hauptprobleme der Anti-Viren-Hersteller.

Neue Technologien gegen traditionelle Lösungen

Natürlich haben die Hersteller der Anti-Virus-Programme von Zeit zu Zeit den Wunsch, eine völlige neue Technologie zu entwickeln, die mit einem Male alle oben erwähnten Probleme löst – also eine Super-Pille, die vor allen Computerkrankheiten schützt, ein für alle Mal. Eine, die proaktiv schützt, d.h. in der Lage ist, den Virus zu bestimmen und ihn noch vor dem Moment seiner Erschaffung und seines Erscheinens im Netz zu löschen – und das bei allen neu erscheinenden Schadprogrammen.

Leider klappt das nicht. Universelle Mittel sind nur gegen Bedrohungen effektiv, die sich bestimmten Regeln unterwerfen. Computerviren unterliegen aber keinen Gesetzen, da sie keine Schaffungen der Natur sind, sondern von raffinierter Menschenhand. Daraus folgt, dass sich die Gesetze, denen sich Viren unterordnen, in Abhängigkeit der Ziele und Wünsche des Computer-Undergrounds verändern.

Computerviren unterliegen keinen Gesetzen.

Betrachten wir als Beispiel den Behaviour Blocker als Konkurrent zu den traditionellen Lösungen, die auf Viren-Signaturen basieren. Es sind zwei vollkommen unterschiedliche Herangehensweisen zur Prüfung auf Viren, die einander aber nicht ausschließen. Eine Signatur ist ein kleines Stück des Viren-Codes, welches mit den bereits hinterlegten Dateien – also dem „Gegenmittel“ – verglichen wird. Das Anti-Virus-Programm überprüft dabei, ob es passt oder nicht. Der Behaviour Blocker hingegen beobachtet die Arbeit von Programmen beim Start und beendet es im Falle verdächtiger oder deutlich schädlicher Tätigkeiten (dafür ist eine Auswahl an Regeln hinterlegt). Beide Methoden haben sowohl Vorzüge als auch Mängel.

Vorzug der Signatur-Methode ist das garantierte Abfangen der Biester, die bereits bekannt sind. Mangel: Sie lassen die durch, die sie noch nicht kennen. Zu den Mängeln gehört auch der große Umfang der Anti-Viren-Dateien und die Ressourcen-Auslastung. Vorzug des Behaviour Blocker ist das Erkennen selbst unbekannter Schadprogramme. Mangel – es können Fehlaalarme auftreten, denn das Verhalten der modernen Viren und Trojaner ist so vielfältig, dass es unrealistisch ist, sie mittels einer einheitlichen Auswahl an Regeln aufzuspüren. Das heißt, der Behaviour Blocker wird garantiert Schadprogramme durchlassen und in bestimmten Zeitabständen die Arbeit von etwas Nützlichem blockieren.

Der Behaviour Blocker hat noch einen weiteren (angeborenen) Nachteil: die Unfähigkeit, mit prinzipiell neuen Schädlingen zu kämpfen. Stellen wir uns vor, dass Unternehmen X ein Behaviour Anti-Virus-Programm entwickelt hat – AVX, welches 100% aller, auch die neuesten Computerviren, abfängt. Was machen die Hacker? Richtig! Sie denken sich neue schädliche Methoden aus. Und AVX benötigt sofort eine Aktualisierung seiner Behaviour-Regeln. Und was ist das? Nichts anderes alsein Update. Und dann wieder ein Update, da die Hacker und Virenschreiber nicht schlafen. Und wieder, und wieder, und wieder Updates. Und im Endeffekt haben wir wiederum einen Signatur-Scanner, nur sind die Signaturen keine Code-Stücke, sondern Verhaltensauffälligkeiten.

Dasselbe Problem trifft auch auf eine andere proaktive Schutzmethode zu, die heuristische Analyse. Sobald solche Anti-Vius-Methoden Hacker dabei stören, ihre Opfer zu attackieren, erscheinen neue Viren, welche die den proaktiven Schutz umgehen. Sobald ein Produkt mit moderner Heuristik und/oder Behaviour Blocker ausreichend bekannt ist, funktionieren diese „Methoden“ nicht mehr.

Der Behaviour Blocker oder heuristische Analyse-Mechanismus bedarf ständiger Aktualisierungen.

Auf diese Weise funktionieren die gerade erfundenen proaktiven Technologien immer nur für recht kurze Zeit. Wo Anfänger noch mehrere Wochen oder Monate zur Überwindung der proaktiven Abwehr benötigen, sind professionelle Hacker in kürzester Zeit so weit. Der Behaviour Blocker oder heuristische Analyse-Mechanismus, egal wie effektiv er ist, bedarf also ständiger Ausbesserungen in Form von Aktualisierungen. Dabei muss berücksichtigt werden, dass die Ergänzung der Signatur-Datenbanken eine Sache von wenigen Minuten ist, die Nachbearbeitung und das Testen proaktiver Schutzmethoden dagegen erfordert viel mehr Zeit. Ergebnis ist, dass in vielen Fällen die Reaktionszeit für Updates der Anti-Virus-Signatur- um ein Vielfaches geringer ist als die für proaktive Technologien. Die Praxis hat dies bereits in Form von Epidemien durch neue E-Mail- und Internet-Würmer, Trojaner und anderer Computer-Schädlinge gezeigt.

Das bedeutet natürlich nicht, dass proaktive Schutzmethoden unnütz sind – das will ich damit nicht sagen! Sie erledigen ihren Teil der Arbeit und können den Ausbruch einiger Computer-Seuchen vermeiden, wenn die Malware von nicht allzu fähigen Hackern entwickelt wurde. Aus diesem Grunde stellen sie eine sinnvolle Ergänzung zu den traditionellen Signatur-Scannern dar, sind aber als alleinige Anti-Virus-Methode in keinster Weise zuverlässig.

Über Testberichte und Probleme bei der Wahl einer Anti-Virus-Lösung

In dieser Rubrik spreche ich über Probleme, vor denen der Anwender bei der Wahl des für ihn richtigen Anti-Viren-Schutzes steht. Nach welchen Kriterien sollte er seine Entscheidung treffen?

Natürlich wäre es logisch, sich mittels Testberichte zu informieren, am besten mittels professioneller. Gibt es diese? – Ja, es gibt sie. Viele? – Leider nein. IT-Fachzeitschriften führen recht häufig Tests von Anti-Virus-Programmen durch, testen die Produkte ziemlich sorgfältig, prüfen und vergleichen die Resultate – angefangen vom Preis für das Produkt bis hin zur Qualität des Service für die Anwender. Von einer vollwertigen Testierung der Anti-Virus-Funktion kann man jedoch kaum sprechen, was allerdings verständlich ist. Um eine Anti-Virus-Komponente sorgfältig zu prüfen, muss der Tester über eine umfangreiche Sammlung an Viren und Trojanern verfügen, entsprechende Testanlagen besitzen und mit automatisierten Test-Verfahren arbeiten. Es ist also notwendig, entsprechende Mittel aufzuwenden, um diese Tests professionell durchzuführen. Es gibt nur wenige Experten, die über eine solch umfangreiche Ausstattung und tiefgreifendes „Viren-Wissen“ verfügen.

Leider fehlen die Vorbilder für einen vollwertigen Test aller Anti-Virus-Funktionen im „echten Leben“ eines Computers im Internet.

Zu den derzeit bekanntesten Test-Experten von Anti-Virus-Produkten gehören Andreas Marx (Deutschland) www.av-test.org und Andreas Clementi (Österreich) – www.av-comparatives.org. Ihre Tests beschreiben sehr ausführlich die Qualität der Erkennung verschiedener Typen Schadprogramme und die Reaktions-Geschwindigkeit verschiedener Anti-Virus-Unternehmen auf neue Epidemien. Die Tests sind genau und umfangreich und können als Grundlage für den Vergleich verschiedener Anti-Virus-Lösungen verwendet werden. Leider werden aber lediglich die zwei genannten Merkmale getestet und alle anderen nicht beachtet, wie beispielsweise das Verhalten der Anti-Virus-Programme in verschiedenen Situationen des „realen Lebens“, darunter die Reparatur kompromittierter Systeme, die Reaktion des Produkts auf eine infizierte Webseite oder die Kapazität der Ressourcen und Genauigkeit der Überprüfung der Archive und Installer.

Leider fehlen die Vorbilder für einen vollwertigen Test aller Anti-Virus-Funktionen im „echten Leben“ eines Computers im Internet. Es gibt nur eine Ausnahme – das Testlabor der Moskauer Staatlichen Universität MGU. Aber auch dort ist die Methodik bei den Tests noch längst nicht vollkommen und das Universitäts-Testlabor noch relativ unbekannt.

Ein paar Worte möchte ich auch noch über die Tests der angesehenen Fachzeitschrift VirusBulletin verlieren, denn ich höre schon die möglichen Fragen der Leser – „kann ich mich denn dann nicht einmal auf die Informationen im VirusBulletin verlassen? Und wie ist das mit der Auszeichnung „VB100%“, die sie vergibt?“ Leider sind auch diese Tests längst nicht vollkommen. Der Test-Standard VirusBulletin wurde Mitte der 90er Jahre ausgearbeitet und seitdem praktisch nicht verändert. Die Anti-Virus-Produkte werden mit einer bestimmten Auswahl infizierter Dateien getestet (dem so genannten ITW-Sortiment, für „In The Wild“, d.h. Viren, die in der „freien Wildbahn“ ihr Unwesen treiben). Aufgrund der Testergebnisse wird entschieden, ob das Produkt das 100% Sicherheits-Zertifikat verdient oder nicht. Die Anzahl der Dateien in diesem ITW-Sortiment ist leider relativ gering – nur etwa zwei bis drei Tausend, d.h. das sind weniger Viren, als monatlich neue auftauchen. Also sagt das Zertifikat „VB100%“ leider nichts darüber aus, ob das vorliegende Produkt tatsächlich vor aktuellen Virus-Bedrohungen schützt. Diese Auszeichnung bestätigt lediglich, dass das prämierte Produkt mit dem ITW-Sortiment fertig wird, mehr nicht.

Schlusswort

Jetzt kennt der geduldige Leser, der diesen Text bis zum Ende bewältigt hat, die ganze Wahrheit über die Anti-Virus-Industrie und ihre Hauptprobleme. Ich hoffe, dass die vorliegende Information Ihnen bei der Auswahl eines würdigen Schutzes für ihren Home-Computer und/oder eines Netzwerks hilfreich ist.

Denken Sie an meine Worte: Ein an das Internet angeschlossener Computer ist wie Sex – Er kann harmlos sein oder auch nicht. Und nur Schutz und Wissen helfen, gewisse Unannehmlichkeiten zu vermeiden…

In diesem Sinne wünsche ich Ihnen sicheres Surfen im Internet!

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.