Virenschutzprogramme

Nur bedingt abwehrbereit

Von Peter Welchering
24.04.2012
, 09:00
Wer im Internet surft, muss mit Gefahren rechnen - oder auf ein Virenschutzprogramm vetrauen
Kein Virenschutzprogramm bietet laut Stiftung Warentest vollständigen Schutz. Wie getestest wurde, verrät die Organisation nicht, ebensowenig wie die Hersteller Sicherheitslücken preisgeben.
ANZEIGE

Online-Kriminelle spionieren damit Kontendaten aus. Nachrichtendienste kommen mit ihrer Hilfe an geheime Informationen, und Militärs nutzen sie als Waffe im Cyberkrieg: Computerviren, Trojaner und Würmer greifen jeden Tag Millionen von Computern an. Geschützt werden sollen die Rechner durch Antivirenprogramme und andere Sicherheitssoftware. Doch wie gut dieser Schutz ist, darüber streiten Hersteller und Sicherheitsexperten. Einen 99-prozentigen Schutz verspricht Marco Preuß vom Antivirenhersteller Kaspersky. Auf 35 bis 96 Prozent taxieren die Softwaretester der „Stiftung Warentest“ das Schutzniveau von Antivirenprogrammen.

ANZEIGE

„Solche Ergebnisse sind immer davon abhängig, wie die Sicherheitssoftware getestet wird“, sagt Andreas Marx vom Testinstitut AV-Test in Magdeburg. Und der Informatiker und Netzaktivist Peter Piksa ergänzt: „Da sorgen leider weder die Hersteller von Antivirensoftware noch die Testlabors für ausreichend Transparenz.“

Unruhe nach Bericht der Stiftung Warentest

Das brachte auch beim Test von 14 kommerziellen und vier kostenfreien Sicherheitsprogrammen der Stiftung Warentest viel Unruhe. Zehn Hersteller von Antivirensoftware kritisierten die Testergebnisse in einem offenen Brief an die Warentester. Die aber legten nicht etwa die durchgeführten Tests und die dabei verwendete Schadsoftware offen, sondern wiesen die Kritik pauschal zurück.

„Nur wenn die Rohdaten und detaillierten Verfahren eines solchen Tests offengelegt werden und nachvollziehbar sind, kann über die Gültigkeit der Testergebnisse etwas ausgesagt werden“, meint Experte Piksa, der auch eine Zeit lang bei einem Hersteller von Antivirensoftware gearbeitet hat. Seither geht er mit den Schutzversprechen der Anbieter von Sicherheitssoftware ausgesprochen kritisch um: „Mitunter wird da ganz erheblich getrickst und getäuscht.“

ANZEIGE

Tatsächlich geben sich viele Hersteller zugeknöpft, wenn sie nach aussagekräftigen Testergebnissen gefragt werden. Nicht selten wird auf die Empfehlungen der Anti Malware Testing Standards Organization (AMTSO) verwiesen. Die AMTSO-Experten haben zwar neun Prinzipien für den Test von Sicherheitssoftware verabschiedet. Die aber sind so allgemein gehalten, dass sie für die praktische Durchführung von Tests kaum verwertbare Hinweise liefern. Außerdem gilt die Organisation als ausgesprochen herstellernah.

Drei Standardverfahren

In den Entwicklungslaboratorien der Hersteller haben sich hingegen drei Standardverfahren durchgesetzt, mit denen die eigenen Sicherheitsprodukte getestet werden. Dazu zählen signaturbasierte Scannertests, die Verhaltensanalyse und der Reputationstest. Beim Test des Virenscanners wird mit sogenannten Signaturen gearbeitet. Das sind Muster, nach denen Computerviren programmiert sind. Der Virenscanner muss also nicht die ganze Datei auf Schadsoftware prüfen, sondern vergleicht das Dateimuster, aus dem er Dateiart und -aufbau erkennen kann, mit den in einer Schadsoftware-Datenbank hinterlegten Mustern oder Signaturen. Stimmt das Muster einer gescannten Datei mit einem Schadmuster überein, schlägt der Virenscanner Alarm.

ANZEIGE

Dabei wird sowohl mit einer bestehenden Internetverbindung zum Server des Antivirenherstellers mit der aufliegenden Schadsoftware-Datenbank gearbeitet als auch offline. Besteht keine Internetverbindung, können nur die lokal gespeicherten Schadsoftware-Signaturen abgeglichen werden. Ganz aktuelle Schadsoftware kann dann meist nicht erkannt werden.

Bei der Verhaltensanalyse prüft die Sicherheitssoftware, ob Programme bestimmte Sprungadressen in den unterschiedlichen Speicherbereichen ansteuern, die als sicherheitsrelevant oder sogar als Risikofaktor bekannt sind. Ebenso wird überwacht, ob Algorithmen Operationen an bekannten Sicherheitslücken ausführen. Ist das der Fall, kann mit einer hohen Wahrscheinlichkeit davon ausgegangen werden, dass es sich um eine Schadsoftware handelt.

Drittens führen die Hersteller sogenannte Reputationstests durch. Dabei greifen sie auf Anwendungsdaten ihrer Kunden zurück, die freiwillig und anonym die auf ihrem System installierten Anwendungsprogramme und deren Ausführungsdaten melden. Solche Reputationsservices geben einen recht guten Überblick, wie verbreitet eine Software ist und welche Probleme Anwender damit in der Vergangenheit hatten. Dabei sind in den Datensammlungen der Reputationsserver nicht nur Anwendungsprogramme aus sicheren Quellen verzeichnet, sondern auch Schadprogramme, die sich als normale Anwendungssoftware tarnen. Die können durch eine Reputationsabfrage schnell als unsichere Software identifiziert und gegebenenfalls geblockt werden.

ANZEIGE

In einigen Herstellerlaboratorien wird darüber hinaus eine Art Variationstest gefahren. Dabei wird der Quellcode bekannter Schadprogramme leicht verändert und als ausführbares Programm auf das Testsystem gespielt. Die installierten Virenscanner und die Software für die Verhaltensanalyse müssen dann mit einem nur teilweise bekannten Muster und nicht in allen Details bekanntem Verhalten eines schädlichen Programms fertig werden.

Die Hersteller lassen sich nicht in die Karten gucken

„Wichtig ist, dass alle Komponenten getestet werden und nicht nur die signaturbasierten Virenscanner“, hebt Kaspersky-Manager Marco Preuß hervor. Dabei muss die eingesetzte Schadsoftware genauso detailliert dokumentiert werden wie die genutzten Sicherheitslücken und der genaue Testverlauf. Doch diese Transparenz wird meist nicht hergestellt. Auch die Stiftung Warentest war bis zum Redaktionsschluss nicht bereit, die Rohdaten ihres Vergleichstests öffentlich zugänglich zu machen.

„Transparenz ist im Geschäftsmodell der Antivirenhersteller nicht vorgesehen“, meint Branchenexperte Piksa. Dabei komme es ihnen gar nicht so sehr darauf an, das mit ihrer Software zu erreichende Schutzniveau möglichst heraufzusetzen. Vielmehr wollten sie in erster Linie davon ablenken, dass Sicherheit nachhaltig nur durch Reduzierung von Angriffsflächen erreicht werden könne. „Dazu zählt, dass Sicherheitslücken öffentlich gemacht werden, damit sie rasch geschlossen werden können, Programme möglichst nicht mit Administratorrechten auf den Computersystemen ausgeführt werden und nur die auch wirklich benötigte Software installiert ist“, so Piksa weiter.

Die Hersteller von Sicherheitssoftware reagieren auf solche Vorhaltungen unterschiedlich. Nur wenige sind an der Umsetzung solcher Maßnahmen für mehr Sicherheit wirklich interessiert. Sie wollen vor allen Dingen möglichst viele Lizenzen ihrer Antivirensoftware verkaufen. Das zeigte sich auch bei der Reaktion manches Herstellers auf den für Apple-Computer geschriebenen Flashback-Trojaner. Statt auf die tatsächliche Bedrohungslage hinzuweisen und auf das abgestufte Rechtesystem des Betriebssystems von Mac-Computern, das solche Trojaner-Angriffe ohne die tätige Mithilfe des Anwenders verpuffen lässt, wurde Panik geschürt.

Quelle: F.A.Z.
  Zur Startseite
Verlagsangebot
Verlagsangebot
ANZEIGE