Antivirussoftware wird häufig als störend empfunden. In den ungünstigsten Momenten erscheinen Warnungen, die Ihre Konzentration stören und Ihren Arbeitsablauf unterbrechen. Gelegentlich blockiert ein übereifriges Antivirenprogramm sogar legitime Software.

Zeit für einen kurzen Blick unter die Motorhaube: Was machen Antivirenprogramme eigentlich? Wie funktionieren sie? Und lohnt es sich überhaupt noch, für Virenschutz Geld auszugeben?

Was der Viren- und Malwareschutz für Sie leisten kann

Hersteller von Antivirensoftware (AV-Software) behaupten gerne, dass Sie ohne sie verloren wären. Oder zumindest Ihre Daten. Einige Windows-Benutzer vertreten hingegen eine entgegengesetzte Meinung: Antivirenprogramme reduzieren die Systemleistung, belästigen Benutzer mit unnötigen Warnungen und blockieren völlig harmlose Anwendungen, während tatsächlich bösartige Software noch durchschlüpfen kann.

Auch wenn Antivirensoftware extrem lästig sein kann, bietet sie doch ein unverzichtbares Sicherheitsnetz. Ohne ein Antivirenprogramm müssten Sie bei jedem Datenaustausch mit anderen äußerst vorsichtig sein, um Infektionen mit Malware zu verhindern. Anders gesagt: ohne Virenschutz kein Internet.

Grundsätzlich gehen alle aktuellen Antivirenprogramme beim Schutz gegen bösartige Software („Malware“) ähnlich vor. Ihre Echtzeit-Schutzmodule überprüfen alle Dateien, sobald sie hereinkommen. Ein Web-Schutzmodul versucht, den Zugriff auf schädliche Websites zu verhindern. Und ein „On-Demand-Scanner“ überprüft alle lokalen Daten auf mögliche Infektionen.

Alle diese Module benötigen Rechenleistung; das heißt, sie reduzieren die Systemleistung leicht. Es werden jedoch verschiedene Methoden eingesetzt, um diese negativen Auswirkungen auf die Performance zu reduzieren. Eine davon ist ein mehrstufiger Ansatz bei der Identifizierung schädlicher Software.

Eine kurze Einführung: Wie funktionieren Antivirenprogramme?

Der einfachste Weg, Bedrohungen zu identifizieren, besteht darin, den Code mit „Signaturen“ bekannter Malware abzugleichen. Vereinfacht ausgedrückt geht es darum, zu prüfen, ob die zu analysierende Datei mit einer Prüfsumme aus einer Blacklist (einer „schwarzen Liste“) übereinstimmt.

Dieser Ansatz hat den Nachteil, dass Angreifer die Erkennung anhand der Signatur durch kleine Änderungen am Programmcode umgehen können. Deswegen kommt die heuristische Analyse ins Spiel, bei der das Antivirusprogramm die Erkennungskriterien erweitert, indem es ein breiteres Muster abgleicht, zum Beispiel ein spezifisches Stück Programmcode anstelle der gesamten Datei.

Die heuristische Analyse hat den Vorteil, dass sie Varianten einer Bedrohung leicht aufspürt. Aber – und es gibt immer ein „Aber“ bei Antivirussoftware – da Heuristiken ein gewisses Maß an Spekulation mit sich bringen, sind sie anfällig dafür, zulässige Anwendungen mit Malware zu verwechseln.

Ein weiterer Ansatz ist die Verhaltensanalyse. Hierbei werden verdächtige Anwendungen zunächst in einer vom Betriebssystem isolierten „Sandbox“ ausgeführt. Diese Erkennungsmethode ist jedoch sehr ressourcenintensiv – das heißt, wenn sie auf Ihrem Computer ausgeführt wird, kann Sandboxing die Computerleistung erheblich beeinträchtigen.

Um diese Probleme abzumildern, haben Antiviren-Entwickler sogenannte „Online-Reputationssysteme“ entwickelt. Wenn sich das lokale Antivirenprogramm über eine Datei unsicher ist, kann es sich direkt an die Server seines Entwicklers wenden, um zu prüfen, ob es in einer zentralen Whitelist („weißen Liste“) gefunden steht. Wenn bekannt ist, dass der Code harmlos ist, wird er ausgeführt. Ist der Code unbekannt, wird er als Probe zur zentralen Analyse an die Server des Herstellers gesendet. Dort wird das Beispiel in einer virtuellen Windows-Umgebung ausgeführt, wo sein Verhalten auf ungewöhnliche Aktivitäten überprüft wird.

All dies geschieht in der Regel, ohne dass sich die Benutzer darüber Gedanken machen müssen. Stellen Sie sich Antivirenprogramme als freundliche kleine Elfen vor, die im Hintergrund arbeiten und Sie beschützen. Gelegentlich unterlaufen jedoch auch Elfen Fehler.

Wenn Antivirenprogramme verrücktspielen

Trotz der Sicherheitsvorkehrungen von Whitelists und Online-Reputationschecks schießen Antivirenprogramme gelegentlich über das Ziel hinaus. Harmlose Software wird blockiert, und der Zugriff auf unbedenkliche Websites wird gesperrt. Diese Fehler werden als False Positives bezeichnet.

Ein aktuelles Beispiel für ein False Positive liefert Comodo Internet Security Pro, das in bestimmten Situationen verhindert, dass Benutzer SoftMaker Office 2018 verwenden. Mit den Standardeinstellungen kann die in Comodo integrierte Firewall den Zugriff auf die Lizenzserver von SoftMaker blockieren. Infolgedessen kann die Software die Gültigkeit der Lizenz nicht überprüfen, und die Freischaltung schlägt fehl.

Softwareentwickler, die von einem solchen Problem betroffen sind, haben kaum eine andere Wahl, als sich an den Antivirenhersteller zu wenden, ihn von der Legitimität ihrer Software zu überzeugen und zu verlangen, dass ihr Produkt auf die Whitelist des Unternehmens gesetzt wird. Das kann dauern. In der Zwischenzeit müssen sich die Anwender selbst behelfen.

Im Falle von Comodo Internet Security Pro und SoftMaker Office 2018 ist die erfolgreiche Freischaltung derzeit nur möglich, wenn das Modul „Web-Filter“ des Antivirenprogramms deaktiviert wird. Dies geschieht dadurch, dass Sie die Einstellungen von Comodo Internet Security aufrufen und zu Web-Filter navigieren. In diesem Abschnitt sollten Sie die Einstellung „Aktiviere Web-Filter (empfohlen)“ deaktivieren und Ihre Wahl mit OK bestätigen.

Grundsätzlich sollten Sie natürlich sehr vorsichtig sein, wenn Sie Elemente Ihres Antivirenschutzes deaktivieren. Die beste Lösung ist die Erstellung von Ausnahmen für bestimmte Anwendungen – dadurch wird im Prinzip eine lokale Whitelist erstellt. Bevor Sie jedoch eine solche Ausnahme hinzufügen, sollten Sie noch einmal überprüfen, ob dies die Sicherheit des Computers gefährdet. Glücklicherweise gibt es eine Reihe kostenloser Online-Dienste, die bei dieser Einschätzung helfen.

Wie Sie überprüfen, ob eine Datei unbedenklich ist

Einige Antivirenprogramme sind sehr strikt: verdächtige Dateien werden schnell gelöscht oder in die „Quarantäne“ geschickt, einen speziellen Container, in dem sie keinen Schaden anrichten können. Dies geschieht in der Regel, noch bevor das Antivirenprogramm eine Warnung ausgibt.

Es gibt mehrere Möglichkeiten, um zu überprüfen, ob eine solche Datei ein False Positive ist oder so bösartig, wie die Antivirensoftware glaubt. Häufig müssen Sie die Datei zunächst aus der Quarantäne wiederherstellen. Da dies von Anwendung zu Anwendung unterschiedlich erfolgt, sollten Sie hierzu die Dokumentation Ihres Virenschutzprogramms durchlesen. Um zu vermeiden, dass die wiederhergestellte Datei sofort wieder entfernt wird, müssen Sie möglicherweise zuerst eine temporäre Ausnahme erstellen.

Anschließend können Sie die Datei zu einem Online-Virenscanner wie HerdProtect, Jottis Malware Scan, Opswat Metadefender Cloud oder VirusTotal hochladen. Achten Sie darauf, dass Sie vor dem Hochladen niemals auf eine verdächtige Datei doppelklicken! Der Dienst wird den Upload mit mehreren Virenscannern überprüfen, was einige Minuten dauern kann.

Die Ergebnisse von Online-Virenscannern sind manchmal schwer zu interpretieren. Wenn jedoch mehr als ein paar dieser Dienste zustimmen, dass die Datei bösartig ist, hatte Ihr lokaler Virenschutz wahrscheinlich Recht. Bei Ergebnissen, die als heuristische Ergebnisse gekennzeichnet sind (oft als „heur“ markiert), ist besondere Vorsicht geboten. Wie bereits erwähnt, ist die heuristische Analyse durchaus fehleranfällig.

Online-Virenscanner sind nicht perfekt: es kann tatsächlich vorkommen, dass keiner der Scanner die Schädlichkeit einer hochgeladenen Datei erkennt. Dies kann insbesondere bei Dateien auftreten, die Sie als E-Mail-Anhang erhalten haben. Diese Art von Malware ist oft maßgeschneidert, um den Virenschutz zu umgehen.

In der Regel entdecken Antivirenhersteller solche Versteckspielchen innerhalb weniger Stunden. Wenn Sie also nach der ersten Analyse einer Datei immer noch misstrauisch gegenüberstehen, lassen Sie sie für einige Stunden stehen und laden Sie sie dann erneut hoch. Dies führt oft zu deutlich unterschiedlichen Ergebnissen, die jeden Zweifel ausräumen sollten.

Seien Sie jedoch vorsichtig beim Hochladen personenbezogener Daten auf Online-Virenscanner. Die meisten von ihnen leiten verdächtige Dateien zur weiteren Analyse an die einzelnen Antiviren-Anbieter weiter. Dies ist in der Regel in den Nutzungsbedingungen eines Online-Scanners vermerkt – aber wer liest die schon?

Wie Sie Ihren Virenschutz auswählen

Als privater Anwender von Windows verfügen Sie mit dem Windows Defender über eine brauchbare Antivirenlösung. Es wurde von Microsoft entwickelt und integriert sich daher nahtlos in Windows. Windows Defender stützt sich sowohl auf Signaturen als auch auf Online-Reputationsprüfungen. Es versucht, so unauffällig wie möglich zu sein – obwohl es kostenlos ist.

Alle anderen kostenlosen Antivirenprogramme sind im Wesentlichen Werbung für ihre kommerziellen Brüder. Das bedeutet, dass sie stärker auf sich aufmerksam machen, weil sie ein Produkt verkaufen müssen. Windows Defender folgt einem anderen Geschäftsmodell.

Wenn Sie Ihren Computer geschäftlich verwenden, ist Windows Defender vielleicht nicht die beste Wahl. Die Nutzung der Software erfordert eine aktive Beteiligung am „SpyNet“, dem etwas ungeschickt benannten Reputationsdienst von Microsoft. Wenn Windows Defender verdächtige Dateien auf einem Computer findet, lädt er sie ohne Nachfrage zu Microsoft hoch. So werden möglicherweise vertrauliche Daten an Dritte weitergegeben.

Der Grund für dieses Verhalten ist, dass Microsoft auch eine kommerzielle Antivirenlösung namens „Endpoint Protection“ für Unternehmenskunden anbietet. Im Prinzip „füttert“ Windows Defender das Produkt „Endpoint Protection“ mit Malware-Proben.

Professionelle Anwender werden stattdessen eine kommerzielle Antivirenlösung bevorzugen. Die meisten von ihnen bieten die Möglichkeit, das Hochladen verdächtiger Dateien abzulehnen, auch wenn dies den Schutzgrad verringern kann. Darüber hinaus bieten sie zusätzliche Schutzebenen – einige von ihnen nützlich, andere eher fragwürdig.

Kommerzielle Anbieter von Antivirenprogrammen bieten in der Regel mehrere Pakete mit unterschiedlichen Funktionen und Preisstufen an: Das Basis-Antivirenprogramm bietet nur die grundlegendsten Funktionen. Das Internet-Sicherheitspaket im mittleren Preisbereich beinhaltet zusätzliche Funktionen wie sichere Browsing-Umgebungen für Online-Banking, Werbeblocker, Passwortsafes und Kindersicherung. Und die Luxusversion bietet noch mehr Zusatzfunktionen, von denen viele von fragwürdigem Nutzen sind.

Bei der Auswahl eines Pakets sollten Sie zunächst eine Testversion installieren, um sich mit der Anwendung vertraut zu machen und zu entscheiden, ob das Paket Ihren Anforderungen entspricht. Nehmen Sie sich Zeit, um zu prüfen, ob die Anwendung versucht, Sie „einzusperren“, Sie also dazu zwingt, das Produkt dauerhaft zu verwenden.

Passwortspeicher zum Beispiel sind im Allgemeinen eine sehr gute Idee, aber denjenigen, die mit Internet-Sicherheitspaketen gebündelt sind, fehlt oft die Möglichkeit, die Daten in ein Format zu exportieren, das andere Passwortspeicher lesen können. Im schlimmsten Fall haben Sie ein minderwertiges Antivirenprogramm am Hals, nur weil es Ihre Passwörter als „Geisel“ hält.

Werkzeuge zum „Tunen“ oder „Reinigen“ des Betriebssystems sind ebenfalls von zweifelhaftem Nutzen, da Windows bereits Funktionen wie die Datenträgerbereinigung und die Speicheroptimierung zur Freigabe von Platz auf der Festplatte enthält. Ein „Registry-Cleaner“ kann das Betriebssystem sogar beschädigen, und Microsoft ist bekannt dafür, Kunden, die solche Programme verwenden, den Support zu verweigern.

Plaats reactie

Verstuur