Wie funktioniert Antivirensoftware? Eine Antwort für Nicht-Techniker

geschrieben am 13.11.2015
Schlagwörter: , , , , , ,

Antivirensoftware schützt vor Infektionen mit Malware
Ein gutes Antivirenprogramm gehört zu der Kategorie von Software, die auf jedem Windows-Computer laufen sollte. Zwar können Virenprogramme Vorsicht und Aufmerksamkeit beim Surfen und Dateiaustausch nicht ersetzen, aber im Zusammenspiel bieten sie einen guten Schutz gegen Viren, Würmer und andere Malware. Da gute Antivirensoftware heute auch keine Geldfrage mehr ist, gibt es auch keinen guten Grund, auf deren Schutzfunktion zu verzichten. Wer das trotzdem tut, handelt fahrlässig und riskiert seine Datensicherheit.

Stichwort Funktion: Wie funktioniert Antivirensoftware eigentlich? Wie arbeitet deren Virenschutz? Wie schaffen es die Virenscanner zwischen Schadprogrammen und harmlosen Programmen zu unterscheiden? In diesem Artikel unternehmen wir den Versuch, auf diese Fragen einfache Antworten zu geben. Wer die grundlegenden Techniken der Programme kennt, kann diese gezielter und besser einsetzen.

Antivirensoftware – essentieller, subsidiärer Malwareschutz

Die Empfehlungen der Computerexperten von der Stiftung Warentest und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind eindeutig: Ein Antivirenprogramm sollte auf keinem Windows-Rechner fehlen. Die Schutzprogramme bewahren Computer vor Infektionen mit Schadsoftware und deren Nutzer vor Datenverlust, der Verletzung der Privatsphäre und finanziellen Schäden, indem sie Viren, Würmern und Trojanern identifizieren und unschädlich machen.
Antivirenprogramme haben natürlich aber auch Grenzen. Wenn ein Nutzer alle Vorsicht fahren lässt und trotz Warnhinweise seines Virenschutz-Programms verdächtige Dateien öffnet, dem kann auch die beste Antivirensoftware nicht helfen. Es ist also wie mit dem Auto-Sicherheitsgurt: Seine Präsenz alleine reicht nicht. Richtig genutzt muss er werden. Virenscanner können also immer nur unterstützen, nicht per se schützen.

Antivirensoftware gibt es von zahlreichen Anbietern und die Angebote sind vielfaltig. Die vermutlich bekanntesten Anbieter sind Avira und Avast. Die Bekanntheit dieser beiden Antivirussoftware-Hersteller ist nicht zuletzt auf die Tatsache zurückzuführen, dass beide Anbieter Privatpersonen kostenlose Versionen Ihrer Antivirenprogramme zur Verfügung stellen. Und, das sei an dieser Stelle gesagt, diese freie Antivirensoftware sind durchaus leistungsfähige Tools. Das hat mehr als nur ein Antivirensoftware-Test ergeben. So ist es bei Avira z.B. auch so, dass das kostenlose und die kostenpflichtigen Angebote die gleiche Antivirenkomponente (AV-Komponente) verwenden.
Andere bekannte Antivirensoftware-Anbieter sind AVG aus den Niederlanden, Bitdefender aus Rumänien, BullGuard aus Großbritannien, Eset aus der Slowakei, F-Secure aus Finnland, Kaspersky aus Russland, Panda aus Spanien sowie Norton und McAfee aus den USA. Die beiden US-amerikanischen Hersteller gehören zu großen IT-Konzernen. Norton ist ein Teil von Symantec und McAfee ist mittlerweile von Intel einverleibt worden.

In Computerforen wird häufig gefragt, welche Antivirensoftware die beste ist. Auch Kunden kommen regelmäßig mit dieser Frage auf uns zu. In unserer Antwort versuchen wir diese zwei Aspekte zu betonen: Unsere grundsätzliche Empfehlung für Windows Antivirensoftware sind die Produkte aus dem Hause Avira, d.h. die verschiedenen Editionen von Avira Antivirus oder die für den Privatnutzer kostenlose Antivirus Software Avira Antivirus Free. Andererseits ist es so, dass man, solange man eine Security Suite eines renommierten Herstellers verwendet, eigentlich nicht viel falsch machen kann. Alle großen Sicherheitsprogramme bieten tägliche oder sogar regelmäßigere Updates und integrieren klassische mit modernen Malware-Erkennungsmethoden. In vielen Fällen ist es am Ende wohl eher eine Geschmackssache: Nur wenn man mit seinem Antivirus Programm gut zurecht kommt und es richtig bedient, nur dann kann es optimal schützen.
Um Objektivität und Vergleichbarkeit in die häufig subjektiv geprägte Diskussion über die „beste Antivirensoftware“ zu bringen, verweisen wir auch regelmäßig auf die Tests von AV-Test und der Stiftung Warentest. AV-Test testet rund einmal pro Quartal die Angebote der führenden Hersteller. Die Stiftung Warentest hat zuletzt Anfang 2020 einen Antivirensoftware Vergleichstest durchgeführt. Die Zusammenfassung dieses Tests finden Sie im Artikel Test von Antivirenprogrammen 2020 – eine Zusammenfassung im Blog von datamate.

Klassifizierung von Malware-Erkennungsmethoden

Auch wenn die vollmundige Rhetorik der Antiviren-Hersteller anderes vermuten lässt, so nutzen die bekannte Antivirensoftware-Angebote von Kaspersky, Bitdefender, Avast, Avira und Konsorten nahezu ausschließlich dieselben Verfahren, um Schadsoftware zu erkennen.
Ganz generell lassen sich die Methoden zur Identifikation von Malware in reaktive und proaktive Verfahren unterscheiden. Reaktive Methoden nutzen die Kenntnis über bestehende Schadsoftware, um sie zu erkennen und neue Infektionen zu vermeiden. Gegen bekannten Schadcode bieten sie zuverlässigen. Aufgrund Ihrer Natur können Sie aber keinen Schutz gegen neue Bedrohungen bieten. Sie setzen voraus, dass der Schadcode bekannt ist. Die signaturbasierte Erkennung ist die klassischste aller Erkennungsverfahren und zählt zu den reaktiven Methoden.
Die frühen Antivirenprogramme der 90er Jahre setzen ausschließlich auf reaktive Erkennung. Mit der rasanten Zunahme von Schadsoftware kamen die Ingenieure der Hersteller immer häufiger nicht mehr mit der Analyse neu entdeckter Malware nach. Die reaktiven Methoden stießen an ihre methodischen Grenzen. Hinzu kam, dass die Nutzer verlangten, nicht nur gegen bekannte, sondern auch gegen neue Cyber-Bedrohungen geschützt zu werden.
Proaktive Methoden waren die Antwort der Antivirus-Hersteller auf die Kritik an der reaktiven Technik. Proaktive Methoden versuchen Schadsoftware anhand von Verdachtsmomenten wie z.B. unzweifelhaft schädlichem (z.B. der Veränderung oder Löschung von Systemdateien) oder auffälligem Verhalten (z.B. vielfacher Versand von E-Mails) zu identifizieren. Zu den proaktiven Verfahren zählt man die Heuristik, die Verhaltensanalyse und das Sandboxing. Diese Verfahren unterscheiden sich in den zugrundeliegenden Ansätzen ebenso wie den Interventionpunkten.
Ein zentraler Nachteil der aufgeführten Techniken ist deren großer Leistungshunger. Die für die Verhaltensanalyse benötigte Systemüberwachung und die im Sandboxing verwendeten Simulationstechniken sind deutlich leistungsintensiver als die Datenbankabfragen der signaturbasierten Methoden.
Abstraktes Bild - Behandlung von Infektionen
Ein weiterer Nachteil der proaktiven Verfahren ist Ihre vergleichsweise hohe Fehlerquote: Ausgeführte Prozesse werden als Malware erkannt, obwohl sie harmlos sind bzw. ausgeführt werden sollen. Oder: Bösartiger Programmcode, der nicht ausgeführt werden sollte, erhält die Freigabe. (In der Fachsprache spricht man im ersten Fall von Alpha- und im zweiten Fall von Beta-Fehler.) Der Grund hierfür liegt ganz einfach darin, dass bei Entscheidungen auf Basis von Verdachtsmomenten mehr Fehler gemacht werden als auf Basis von Beweisen. Das kennt man aus dem wirklichen Leben. Nur weil sich eine Person auffällig benimmt, führt sie noch lange nichts böse im Schilde. Da haben es die reaktiven Verfahren in der Tat einfacher. Wenn die Scanengine eines Antivirenscanners in einer Datei Schadcode ausmacht, dann besteht kein Zweifel an der Bösartigkeit der Datei. Über die kriminelle Intention eines auf frischer Tat ertappten Diebs besteht ebenso Eindeutigkeit.

Erkennungsmethoden von Antivirussoftware

Die vier wichtigsten Erkennungsmethoden von Antivirus Programmen sind

  • signaturbasierte Erkennung,
  • heuristische Erkennung,
  • Sandboxing und
  • Verhaltensanalyse

und diese werden im Folgenden etwas detaillierter beschrieben.

Signaturbasierte Erkennung – das klassische Verfahren der Antivirensoftware

Sobald eine Schadsoftware erkannt und isoliert wurde, machen sich die Hersteller der Antivirussoftware dran, den Schadcode der Software zu analysieren, eine sogenannte Virensignatur zu erstellen und diese via Update den Virenprogrammen zur Verfügung zu stellen. Auf diese greifen dann der Echtzeit-Scanner und der System-Scanner bei der Suche nach Bedrohungen und Infektionen zurück. Findet ein Scanner bei der Überprüfung einer Datei eine Übereinstimmung zwischen dem Datei-Code und einer Virensignatur, dann schlägt er Alarm.
Virensignaturen sind traditionell Bytefolgen, die aus bekannter Malware extrahiert wurden. Durch Sie kann Schadcode eindeutig identifiziert werden. Man kann sie sich als Fingerabdrücke von Schadprogrammen vorstellen. Hier auch nur eine Zahl, um die Größenordnung klar zu machen: Die Zahl der Virensignaturen der Antivirus-Komponenten von Avira z.B. geht in die Millionen. Mit den regelmäßigen Updates werden pro Tag rund 10.000 Virenstämme ergänzt. Für den einen oder anderen mögen diese nervig sein. Da die reaktive signaturbasierte Erkennung aber nur so stark ist wie die Virendefinitionen aktuell sind, sind diese für die Funktionsfähigkeit des Antivirus Programms von entscheidender Bedeutung.
Mit der zunehmenden Verbreitung von Breitbandinternet ergänzt heute eine wachsende Anzahl von Herstellern die lokale Virendefinitionsdatenbank ihrer Produkte mit Cloud-basierte Datenbanken, die weitere Virenerkennungsmerkmale enthalten. Zunehmend werden dafür auch Hashwerte von Dateien oder bestimmten Teilen an Stelle von klassischen Signaturen verwendet. Diese online signaturbasierte Erkennung ist dabei nicht nur vorteilhaft für die Nutzer. Die Hersteller erhalten auf diese Weise zusätzliche Informationen, die ihnen erlauben, Bedrohungen frühzeitig zu erkennen.

Heuristische Erkennung – die Erkennung auf Verdacht

In der heuristischen Analyse untersucht das Virenprogramm Dateien auf verdächtigen Merkmale. Findet das Programm mehrere solcher Merkmale in einer Datei (z.B. ungewöhnliche Befehle oder Programmcode, der in anderen Schadprogrammen verwendet wurde), dann wird die Ausführung des Programms blockiert. Die heuristische Erkennung arbeitet vom Prinzip also ähnlich wie die signaturbasierte Erkennung. Die Nutzung von verdächtigen Merkmalen an Stelle von bekannten Virensignaturen macht die Heuristik aber ein deutlich unpräziseres Verfahren mit hoher Fehlerquote.
Der Name des Verfahrens leitet sich von dem Forschungsgebiet der Heuristik ab. In der Heuristik ist man daran interessiert, trotz geringer bzw. unvollständiger Informationslage zu praktikablen Erkenntnissen zu kommen. Es steht also nicht die Optimalität einer Lösung im Vordergrund, sondern die Einfachheit der Anwendung. Das wohl bekannteste heuristische Verfahren ist wohl jedem bekannt, ohne es mit der Heuristik zu assoziieren: Das Prinzip von Versuch und Irrtum (englisch: Trial and Error).
Die Effektivität der heuristischen Verfahren in der Virenidentifikation im realen Einsatz ist eher gering. Die heuristischen Verfahren leiden darunter, dass die Macher von Malware Ihre Erzeugnisse darauf testen können, ob sie durch die aktuellen Antivirus Programme erkannt werden. Wenn Sie die heuristische Überprüfung im Labor austricksen, dann ist es sehr wahrscheinlich, dass sie dies auch außerhalb des Labors schaffen. Updates der heuristischen Module der AV-Komponente der Schutzpakete finden seltener statt, da dies vergleichsweise aufwändig ist. Aufwändiger zumindest als die Ergänzung der AV-Datenbank um eine Virensignatur.

Sandboxing – die Erkennung durch die Probe aufs Exempel

Eine Datei, die bei der signaturbasierten und der heuristischen Analyse nicht weiter auffällig war, die aber dennoch nicht über allen Zweifel erhaben ist, möchte man nicht direkt im Hauptsystem des Computers ausführen. Falls sich die Software als Schadsoftware entpuppt, hat man sich die Infektion eingefangen und man muss die Malware entfernen – wenn nicht gar schlimmeres.
Wenn es ohne weiteres möglich wäre, dann würde man das fragliche Programm am liebsten auf einem separaten System ausführen und dort sein Verhalten testen. Nur wenn es kein untypisches Verhalten zeigt, ist das Vertrauen so groß, dass man es auch im Hauptsystem ausführen will.
Es ist genau dieses Vorgehen, das Virenprogramme beim Sandboxing zu simulieren versuchen. Beim Sandboxing wird eine Datei in einem vom Rest des Systems isolierten Bereich (englisch: restricted operating system environment) ausgeführt, so dass kein Schaden entsteht, wenn sich das Hilfsprogramm als Malware entpuppt. Zu diesem Zweck wird auf dem Computer ein separates System simuliert – die Sandbox. Die Techniken, die dabei zur Anwendung kommen, sind unterschiedlich. Die meisten ähneln der Emulation eines separaten Betriebssystems in einer virtuellen Maschine.
Die Sandboxing-Technik war für die Erkennungsrate von Antivirensoftware ein deutlicher Zugewinn. Viele neue Viren und Würmer, aber auch Spyware, Scareware und Ransomware, die der heuristischen Prüfung entwischen, können durch sie enttarnt werden. Ein Allheilmittel ist es leider dennoch nicht: Fortschrittliche Schadsoftware erkennt, wenn Sie in einer Sandbox ausgeführt wird und verhält sich dann unauffällig. Das Wirkungsprinzip des Sandboxing verpufft. In diesem Fall greift aber (hoffentlich) die letzte Erkennungstechnik.

Verhaltensanalyse – die letzte Hoffnung

Antivirenprogramme mit Verhaltensanalyse (englisch: behavior analysis) beobachten fortlaufend das Verhalten von ausgeführten Prozessen und schreiten ein, wenn bestimmte Verhaltensregeln durch die Prozesse verletzt werden oder der Prozess durch mehrere ungewöhnliche Verhaltensweisen die Toleranz des Sicherheitstools überstrapaziert. Die Verhaltensanalyse ist also wie ein Polizist auf Streife, der nicht bei jedem verdächtigen Moment „Stop“ ruft, sondern der beobachtet und einschreitet, wenn sich jemand an der Tür eines Hauses oder Ladens zu schaffen macht.
Der offensichtliche Unterschied von Heuristik und Sandboxing auf der einen und der Verhaltensanalyse auf der anderen Seite ist der Zeitpunkt der Erkennung bzw. der Intervention. Während die ersten beiden noch vor der Ausführung eines Programms aktiv werden, um das Bedrohungspotential einer Software zu ermitteln, greift die Verhaltensanalyse erst nach dem Programmstart. Anders auch als beim Sandboxing läuft dann eine mögliche Schadsoftware nicht in einem abgetrennten Bereich des Computers, sondern unmittelbar im Hauptsystem. Die Verhaltensanalyse kann also eine Infektion nur eindämmen und Schaden verhindern, nicht aber vermeiden.
Die Methoden, auf die die Verhaltensanalyse zurückgreift, sind statistischer Natur. Durch die Verwendung von Techniken der künstlichen Intelligenz (z.B. neuronale Netze) ist die Verhaltensanalyse in der Lage, durch „Erfahrung“ seine Schutzfunktion zu optimieren. Fehlalarme werden weniger und die Erkennungsrate besser.

Antivirussoftware: Nicht perfekt, aber trotzdem wichtig

Es ist ein permanentes Katz-und-Maus-Spiel zwischen den „Autoren“ von Schadsoftware und den Anbietern von Antivirensoftware: Neue Schadsoftware wird entwickelt und verbreitet und die Entwickler machen sich dran, Medizin gegen die Infektionen zu entwickeln. Die Entwickler von Schadsoftware haben in dieser Auseinandersetzung den großen Vorteil, dass sie den ersten Schuss haben. Sie kennen den aktuellen Stand der Technik und können Ihre Schadsoftware gegen die neusten Sicherheitstools antreten lassen und optimieren. Erst wenn sie diesen Test erfolgreich bestanden, werden sie „freigelassen“ – „survival of the fittest“ der unschönen Art.

Die Asynchronität dieser Auseinandersetzung sorgt dafür, dass immer wieder Malware-Infektionen auftreten – auch bei Nutzern aktueller Antivirussoftware. Dies ist unvermeidbar und es ist kein Grund, auf ein Virenprogramm zu verzichten. Im Gegenteil: Es sollte Aufforderung sein, sein Virenscanner immer up-to-date zu halten. Außerdem macht es klar, dass Antivirensoftware nur eine Ergänzung zur Anwendung des Common Sense sein kann. Vorsicht und Bedacht sollte beim Surfen im Internet und bei jedem Download immer dabei sein. Zur weiteren Absicherung und vor allem zum Schutz der Privatsphäre kann es schliesslich Sinn machen, beim Surfen im Internet eine VPN-Verbindung zu verwenden.

Haben Sie noch Fragen? Sie haben sich eine Malware-Infektion zugezogen? Dann sind die Online Assistenten an 365 Tagen im Jahr für Sie da, um Ihnen mit Rat und Tat zur Seite stehen. Sie erreichen uns unter unserer Mainzer Rufnummer +49 (0)6131 327070.

Wenn Ihnen dieser Artikel gefallen hat, dann hinterlassen Sie ein Kommentar direkt unter dem Artikel. Oder geben Sie uns ein Like auf unserer Facebook-Seite.

klebefolien sagt:
24. Oktober 2016 um 14:58 Uhr

Vielen dank für den tollen Artikel und die ausführliche Information. Die Informationen sind ziemlich hilfreich.

Gruß Anna

« | »

Wissensartikel

Letzte Beiträge

Archiv

Unser angebotener PC Service

Gerade in der Ära 2.0 ist es für manch einen ziemlich kompliziert, sich mit der medialen Welt auseinanderzusetzen. Eben aus diesem Grund hat es sich ionas zur Aufgabe gemacht, den Hilfesuchenden ein Ansprechpartner zu sein. Mit unserem kompetenten und fachmännischen PC Service können wir Ihnen jedes Problem lösen.

Mit dem PC Service des Unternehmens ionas setzen wir neue Maßstäbe und bieten schnelle Computerhilfe. Eine wichtige Komponente unserer Firmenphilosophie ist ein erstklassiger Dienst am Kunden. Mit Freundlichkeit und Kompetenz lösen wir Ihr PC-Problem. Es ist uns wichtig, dass Sie unserem Expertenteam Vertrauen schenken, damit wir bestmöglich mit Ihnen zusammenarbeiten können. Bei uns haben Sie immer einen erfahrenen Ansprechpartner und können so von dem besten PC Service Deutschlands profitieren.

Zudem bieten wir Ihnen regelmäßige Computerinspektionen, um möglichen Problemen und auftretenden Sicherheitslücken vorzubeugen. Mit unserem PC Service checken wir Ihr Betriebssystem und die dazugehörigen wichtigsten Programme, die oft Anwendungen finden, auf mögliche Schwachstellen und beugen potentiellen Angriffen vor. Außerdem ist das Thema Datensicherung eine wichtige Komponente in unserem PC-Service, damit wichtige Daten nicht verloren gehen.

Der PC Service von ionas ist für Jedermann gedacht. Ob Sie nun als Gesellschaft, Privatperson, Organisation oder als Freiberufler einen Online-Assistenten benötigen - ionas ist für Sie da. Wenn Sie regelmäßige Hilfestellung am Computer in Betracht ziehen und einen Experten an Ihrer Seite zu schätzen wissen, dann haben Sie mit uns genau den richtigen Ansprechpartner.

Auch eine PC Fernwartung ist kein Problem

Es ist uns sehr verständlich, dass ein Hausbesuch oft unangenehm und befremdlich ist. Wer wenig Zeit hat und schnell eine Lösung wünscht, macht keine Termine zur Wartung, sondern möchte sofortige Unterstützung erhalten. Durch Fernwartung können wir unmittelbare Hilfestellung leisten und uns dem Problem widmen, als seien wir vor Ort. Durch einen einfachen Anruf bei ionas können Sie direkt mit unseren Experten sprechen. Sie schildern Ihr Problem, unser Online Assistent schaltet sich in Ihr System per PC Fernwartung ein und kann Ihnen prompt unter die Arme greifen. Schnell, einfach und günstig können Sie von dem Wissen und der Erfahrung unserer Experten profitieren.

Die Zeiten, in denen der PC abgebaut und zu dem nächsten Computerladen um die Ecke gebracht werden musste, sind endlich vorbei. Sie haben sich eine Menge Arbeit erspart und können so kostengünstig wie nie zuvor, mit einer PC Fernwartung Ihren Computer reparieren lassen. Die PC Fernwartung unseres Online Assistenten Teams ist zudem sehr transparent, da Sie jeden Arbeitsschritt genau mitverfolgen können. So wird Vertrauen geschaffen!

Die Computerhilfe von ionas ist erstklassig

Eine professionelle Computerhilfe bei einem Fachmann ist in der Regel sehr teuer. Vor allem wenn man einen Notfall hat und schnelle Unterstützung benötigt, kann die Rechnung exorbitant werden. Mit ionas erhalten Sie schnellstmögliche Computerhilfe zu einem fairen Preis. Auch am Wochenende lassen wir Sie nicht im Stich.

Häufig bekommen wir es mit, dass Laien sich aus Kostengründen keinen erfahrenen Ansprechpartner suchen, sondern ihre Probleme selbst in die Hand nehmen wollen. In der Regel geht dies nicht gut, sodass man lieber gleich eine professionelle Computerhilfe in Anspruch genommen hätte. Genau hier wollen wir Ihnen Probleme ersparen und von Anfang an eine günstige und effektive Computerhilfe anbieten.

Sollten Sie sich aktuell Problemen ausgesetzt sehen, sollten Sie nicht zögern und sofort den Kontakt zu ionas suchen. Unsere freundlichen und professionellen Online Assistenten freuen sich auf Ihren Anruf und werden Ihnen eine schnelle und zielgerichtete Computerhilfe anbieten.

Weitere Themen: IT Support, PC Beratung