Security-Informationen: Erfahren Sie mehr über die Funktionsweise und Erkennungstechniken der Antiviren-Programme

Funktionsweise von Anti-Viren-Programmen (Traditioneller Virenschutz)

Programme, die IT-Systeme nach bekannten Viren durchsuchen, haben sich in der Vergangenheit als effektivstes und wirksamstes Mittel in der Viren-Bekämpfung erwiesen. Der Hersteller der Antiviren-Software liefert regelmäßig Informationen über neue Viren und Schädlingsprogramme. Dies findet mindestens einmal pro Tag statt und geschieht, vom Benutzer unbemerkt im Hintergrund.

Ein signaturbasierter Virenscanner, der im Hintergrund scannt (transient / on access) prüft neu heruntergeladene Dateien oder eingelegte Datenträger schon beim ersten Einsatz. Man kann daher eine Infektion mit bekannten Computer-Viren grundsätzlich vermeiden. Die bekannten Viren sind durch Spezialisten analysiert und als schädlich eingestuft. Der Hersteller von Anti-Viren-Software muss daher nicht nur in der Lage sein, viele Viren zu finden, sondern sie auch möglichst exakt und schnell identifizieren, von Schädlingen verursachte Aktionen rückgängig machen können und sollte möglichst keine Fehlerkennung (False-Postive) liefern, denn das kann ebenfalls schlimme Folgen haben.

Wenn ein schädliches Programm noch nicht dem Antiviren-Programm bekannt ist, kann es (rein signaturbasiert) vor diesem (noch) unbekannten Schädling nicht schützen. Erst wenn der Hersteller per Update der Software diesen neuen Schädling bekannt macht, bietet die Software Schutz vor diesem Schädling - leider oft zu spät. Denn wenn ein Schädling erst einmal aktiv ist, ist er nicht einfach zu entfernen, häufig kommt man dann um eine Neuinstallation von Betriebssystem und Programmen nicht herum.

Schutz vor neuen unbekannten Schädlingen und neue Erkennungstechniken

Die Zahl der neu erkannten Viren und Schädlingsprogramme steigt ständig. Zur Zeit werden täglich mehrere tausend neu Schädlinge in den Laboren der Anti-Viren-Softwareentwickler analysiert. Die Zeit in der diese Schädlinge aktiv sind und Schäden verursachen hat sich hingegen verkürzt. Dies erfordert eine ständige Weiterentwicklung der Erkennungstechniken um einen zeitgemäßen Schutz zu bieten.

Die einzelnen Hersteller setzen hier auf verschiedene neue Techniken und entwickeln diese ständig weiter.

Heuristik - Unter Heuristik versteht man das erkennen ähnlicher schädlichen Dateien anhand von festgelegten Regeln. Je sensibler die Heuristik reagiert, um so mehr Schädlinge werden erkannt, allerdings steigt auch die Zahl der Fehlerkennungen. Deshalb wird diese Technik hauptsächlich in unkritischen Bereichen wie bei der Untersuchung von heruntergeladenen Dateien sinnvoll eingesetzt.

Firewall/Programmkontrolle: Hier wird Programmen die Berechtigung Informationen aus dem Internet zu erhalten oder Informationen über das Internet zu versenden zugeteilt oder entzogen.

mehrere Scan-Engines: Es gibt auch Hersteller, die gleich 2 verschiedene Scanprogramme einsetzen um eine höhere Erkennungsrate zu erreichen.

mehr Updates: Durch häufigere Signatur-Updates (stündliche Updates oder noch öfter) lösen manche Hersteller dieses Problem. Allerdings leidet dadurch manchmal auch die Qualität und es können vermehrt Fehlerkennungen auftreten.

HIPS / proaktive Erkennung : Hierunter zählen Technologien, die beim Aufrufen eines unbekannten Schädlings eine schädliche Handlung erkennen und blockieren. Im idealen Fall werden die daraus gewonnen Erkenntnisse dem Labor gemeldet, damit der Schädling nach dem nächsten Update signaturbasiert erkannt wird und entfernt werden kann. Diese Erkennungstechnologien greifen sehr tief in das System ein und benötigen mehr Systemressourcen als Systeme ohne pro aktive Erkennung. In komplexen Netzwerken sind unter Umständen zusätzliche Anpassungen nötig. Es ist auf jeden Fall zu empfehlen in einer Testumgebung zu überprüfen ob alle Anwendungen sauber laufen.

Sandbox: Hier finden Überprüfungen in einer virtuellen (isolierten) Umgebung statt. Dadurch kann das Verhalten analysiert werden ohne das ein Schaden entsteht. Wenn allerdings der Schädling verzögert (z.B. 1 min. nach dem Öffnen der Datei) eine schädliche Aktion ausführt, hilft dieses Verfahren nicht.

White-Listing: Hier werden Informationen darüber gesammelt, welche Dateien oder Programme unschädlich sind und alle unbekannten Dateien oder Programme als verdächtig betrachtet. Wahrscheinlich die sicherste Methode, allerdings auch die aufwendigste, da jede neue Datei erst als gut eingestuft werden muss und es gibt mehr gute als schädliche Dateien.

Cloud-basierte-Erkennung : Hier findet ein Großteil der Erkennung im Rechenzentrum des Antivirenlabors statt. Die Nutzer übermitteln Informationen mit denen das Labor die Datei, sofern sie noch nicht bekannt ist, automatisch als gut oder böse einstuft. Dadurch erhalten die Benutzer einen ständig aktuellen Schutz vor neuen Bedrohungen. Cloud-basierte Erkennungstechniken werden in Zukunft bei immer mehr Herstellern als Verbesserung des Schutzes integriert.

Konfiguration von Virenschutzprogrammen

Um maximalen Schutz bei einer möglichst niedriger Ressourcenauslastung zu erreichen, muss ein Virenschutzsystem angepasst werden. Je nach Systemausstattung und Schutzbedarf kann man angepasste Einstellungen verwenden. Man sollte allerdings wissen, was man tut, wenn man Einstellungen verändert. Einige Einzelplatzprodukte bieten hier oft weniger Möglichkeiten zur Anpassung. Sie eignen sich nicht zum Einsatz in komplexen Netzwerken.

Virenschutz in Netzwerken

Je komplexer das Netzwerk ist, um so wichtiger ist ein individuell an das Einsatzgebiet angepasstes Schutzsystem. Es gibt für verschiedene Serverrollen optimierte Schutzmodule (Virenschutz für Fileserver, Mailserver). Gerade im Serverbereich sollte man sich vorher informieren, ob die Systemvoraussetzungen erfüllt sind und in einer Testumgebung prüfen, ob die Software fehlerfrei funktioniert. In großen Netzwerken ist es besonders wichtig die schnelle Verteilung der Updates im Netzwerk sicherzustellen.

Durch Parametrisierung lassen sich bei Anti-Viren-Programmen Einstellungen vornehmen, über die festgelegt wird, welche Dateien geprüft werden sollen und in welchem Umfang die Prüfung erfolgen soll. Hier ist es Aufgabe des IT-Sicherheitsmanagements, die geeigneten Einstellungen zu ermitteln und als Voreinstellungen in der Konfiguration der einzelnen Schutzmodule einzustellen.

Es ist ebenfalls sinnvoll den Datenverkehr am Gateway  bereits zu kontrollieren. Dies sollte aber keinesfalls als Ersatz für weitere Schutzmaßnahmen  an Arbeitsstationen, Fileservern und Mailservern angesehen werden, sondern als sinnvolle Ergänzung und Entlastung.

Gerne beraten wir Sie, wie Sie Ihre Rechner optimal vor bekannten und neuen Bedrohungen schützen.

Tel.: 0651 - 9 66 43 83