Jeder kennt Sie: Antivirenprogramme. Es gibt unterschiedliche: kostenlose, kostenpflichtige, manuelle Scanner, Echtzeitscanner, etc.
Sie sollen uns vor Viren u. ä. schützen. Aber was genau macht ein Virenscanner und wovor schützt er den Rechner?
Ein Antivirenprogramm kann schädliche Software erkennen, diese in Quarantäne setzen oder blockieren, sowie von betroffenen Rechnern löschen. Was fällt alles unter Schadsoftware?
Computerviren brauchen, wie echte Viren, einen Wirt, den Sie befallen können. In diesem Fall sind es Dateien, die „infiziert“ sind, und im Anschluss lädt der Nutzer diese infizierte Datei herunter.
Würmer hingegen können sich auch ohne Wirt, also selbstständig, weiterverbreiten.
Trojaner verstecken sich in für den Nutzer brauchbaren Programmen, z.B. ein Add-On für den Webbrowser. Trojaner haben den Zweck, weitere Schadprogramme nachzuladen.
Diese Liste könnte man nun weiterführen und in viele weitere Unterkategorien einteilen. Eine Sache haben diese Punkte allerdings gemeinsam: Virenscanner erkennen diese nach der Signatur oder nach heuristischen Merkmalen.
Ein Virenscanner verfügt über eine „Scanengine“. Diese ist essential und dazu da, verdächtige Programme zu erkennen und anschließend ggf. in Quarantäne zu versetzen oder gar direkt zu löschen. Genauso wie ein Virus stetig weiterentwickelt wird, muss sich auch diese Scanengine durchgehend weiterentwickeln.
Virenscanner arbeiten wie folgt: Zunächst durchsucht der Scanner die Datenbank, damit durch signaturbasierte Erkennung (ähnlich eines Fingerabdruckes) Schadsoftware gefunden werden kann. Im Anschluss wird versucht, über heuristische Erkennung das Verhalten von Schadprogrammen zu identifizieren.
Da moderne Malware versuchen, Ihre Signatur durchgehend zu verändern, können einfache Scanner diese langsamer oder gar nicht mehr erkennen. Ähnlich einer Grippe-Impfung können diese Scanner nur gegen Viren helfen, die im Vorfeld auch bekannt sind. Daher ist die Wahrscheinlichkeit höher, mit heuristischen Methodiken fortgeschrittenere Malware zu erkennen. Allerdings erhöht sich dadurch auch die Rate der ausgelösten Fehlalarme.
Nachteil: Häufiges Anschlagen führt zur Abstumpfung des Nutzers, ebenso kann geringes Anschlagen zu viel durchlassen. Eine gesunde Balance ist daher wichtig.
Die Unterschiede unter den Anbietern von Virenscannern sind derweil nur noch in der Erkennungsrate bemerkbar. Der größte Unterschied bezieht sich eigentlich nur auf die kostenfreie oder kostenpflichtige Version. Die Faustregel besagt: Wer sich etwas kostenlos holt, der zahlt mit persönlichen Daten und erhält natürlich nur einen abgespeckten Umfang.
Ein regelmäßiges Updaten des Antivirenscanners ist unabdingbar, damit die Datenbank der „Signaturen“ immer auf dem neuesten Stand bleibt.
Die moderneren und kostenpflichtigen Versionen besitzen eine Sandboxfunktion.
Sandbox Lösungen empfehlen sich beim Öffnen von externen Dateien, wenn man der Quelle nicht zu 100% vertrauen kann, um einen abgesicherten Bereich zu haben, um Programme vorab ausführen zu können und auf Unauffälligkeiten zu überprüfen.
Nachdem Motto „Kleinvieh macht auch Mist“, ist es sinnvoll, einen Virenscanner zu benutzen. Nichtsdestotrotz ist es nicht empfehlenswert, sich nur auf sein Antivirusprogramm zu verlassen, da dieser prinzipiell nur bekannte Malware und wenig fortgeschrittene Malware entdeckt. Es ersetzt auch nicht eine funktionierende IT-Abteilung, IDS/IPS Lösungen, oder Applikation-Firewalls, ebenso wenig eine Netzsegmentierung oder eine ordentliche RBAC (Roll-based-Account-Controlmanagement)
Der Faktor Mensch spielt hierbei auch eine Rolle. Daher sollte man vermeintlich bekannte Dateien und Adressaten immer mit Vorsicht genießen. Die Kombination aus proaktivem Aufdecken Ihrer Schwachstellen, einer geeigneten Endpoint Protection sowie User Awareness, bietet Ihnen einen umfassenden Schutz Ihrer IT-Landschaft.
