Virenschutzprogramme
Die Corona-Pandemie eröffnet Cyberkriminellen eine Vielzahl an neuen Angriffsmöglichkeiten. Eine gute Sicherheits-Software schützt davor.
Der Betreff der Mail lautet: „ COVID-19 Solidarity Response Fund for WHO – DONATE NOW“. Bitte spenden Sie! Die Bedrohung ist groß, jeder ist betroffen, viel Geld muss in Bekämpfung und Folgen der Pandemie gesteckt werden. Die World Health Organisation ( WHO) koordiniert diesen Kampf, hat einen Solidary Response Fund aufgelegt und sammelt Geld. Bitte zahlen Sie per Bitcoin. – Bis auf das Stichwort Bitcoin stimmt alles: Es gibt diesen Fond, er sammelt Spenden, aber eben nicht anonym per digitaler Währung. Das Konto, auf das die Empfänger der Spam-Mail einzahlen sollen, gehört einem Betrüger.
Wie viele Menschen wirklich darauf hereingefallen sind, ist leider nicht bekannt, denn viele merken den Betrug nicht einmal oder melden sich nicht bei der Polizei. Einige tun es jedoch, und dementsprechend warnen die Behörden vor steigenden Cyberbetrug mit Corona-Bezug. „Die Coronavirus-Pandemie hat viele Aspekte unseres normalen Lebens verlangsamt. Aber unglücklicherweise hat sie die kriminelle Online-Aktivität beschleunigt“, stellt die zuständige EUInnenkommissarin Ylva Johansson fest. Auch der Europol Cybercrime-Bericht 2020 fokussiert das Thema: „Kriminelle haben die Pandemie schnell ausgenutzt, um verwundbare Menschen anzugreifen; Phishing, Online-Betrug und die Verbreitung von Fake News …“Dabei werden keine neuen Betrugsmaschen angewandt, aber die gängigen mit Corona-Themen neu ausgerichtet. Beispiele sind Fake-Shops, die günstige
Desinfektionsmittel anbieten oder Webseiten für Soforthilfen für Selbstständige. Hier verliert das Opfer Geld oder Informationen, ohne eine Gegenleistung zu bekommen. Konkrete Zahlen nennt Kaspersky: In der ersten Märzwoche dieses Jahres gab einen Anstieg auf eine Million Cyberangriffe mit Covid-19-Bezug pro Tag.
Homeof ce im Fokus
Sehr stark zugenommen haben infolge dessen Angriffe auf das Homeof ce. Das Bundeskriminalamt (BKA) meldet in seiner Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie 127 Prozent mehr Angriffe auf das Remote-Desktop-Protokoll (RDP) von Windows als im Vorjahr. RDP dient der Fernsteuerung und war schon öfter ein Einfallstor für Trojaner. Auch die Analysten von Eset berichten von einer deutlichen Zunahme an RDP-Attacken (siehe Gra k links). Außerdem warnt der BKABericht vor gefälschten bzw. manipulierten Zoom-Versionen, die von Betrügern zur Spionage oder einfach nur zum Erzeugen von Bitcoins missbraucht werden.
Falscher Alarm!
Viele Gründe, sich die aktuellen Anti-VirenProgramme näher anzusehen. Dabei arbeiten wir auch in diesem Jahr wieder mit dem Labor AV Comparatives aus Innsbruck zusammen, das die Schutzprogramme fortlaufend analysiert. Wir greifen dabei auf die Ergebnisse des gesamten laufenden Jahres zurück; es handelt sich also um deutlich mehr als eine Stichprobe.
In den letzten Jahren stellten wir fest, dass sich die eigentliche Virenerkennung bei allen Programmen gleichbleibend auf hohem Niveau bewegt. Das heißt konkret, die Programme übersehen Viren in den beiden wichtigsten Tests von AV Comparatives nur im Promille-Bereich. Der Live-Test ( RealWorld-Test) simuliert eine echte Surf- und Arbeitsumgebung, in der das getestete AVProgramm immer wieder auf Schädlinge stößt. Die Tester beobachten, wie das Programm reagiert: Schützt es den Anwender? Kann es das Virus besiegen? Der schlechteste Wert liegt hier bei 98,7 Prozent (McAfee) der beste bei 100 Prozent (F-Secure und Trend Micro).
Beim Malware-Protection-Test sind Viren im Dateisystem versteckt, und die Tester beobachten, was passiert, wenn solch ein Virus plötzlich ausgeführt wird. Hier schaffen alle Programme hundert Prozent Erkennungsrate, bis auf Trend Micro mit 98,7 Prozent. Echte Unterschiede gibt es bei den Fehlalarmen (False Positives). Jede Virenerkennung lässt sich verbessern, wenn der Hersteller sie einfach strenger einstellt. Dann gibt es aber mehr falsche Meldungen, bei denen das Sicherheitsprogramm gutartige Dateien sperrt. Das senkt zwar nicht direkt das Sicherheitsniveau, aber es ist lästig. Gute Schutzprogramme schaffen lobenswerte Erkennungsraten bei wenigen Fehlalarmen, etwa Eset mit nur fünf Stück über alle Testläufe. Insofern schafft Eset den Sieg im Hinblick auf die Sicherheit.
Gute Performance gefragt
Zur Bewertung: Wir haben dieses Mal zwei Aspekte deutlicher in den Vordergrund gerückt: Bedienung und Performance (wobei die Sicherheit immer noch die Hälfte aller zu erreichender Punkte ausmacht). Die Rennsemmel ist eindeutig McAfee mit 30,3 Punkten, aber knapp gefolgt von Kaspersky mit 28,6 Punkten. Dieser Wert war letztendlich entscheidend für den Gesamtsieg von Kaspersky und den guten dritten Platz für McAfee. Am hinteren Ende bei der Performance liegen Trend Micro und G Data.
Bei der Bedienung warfen wir einen Blick auf die Ober äche: Ist sie aus einem Guss, und sind die Funktionen verständlich zu erreichen? Nicht so gut gefallen hat uns, wenn eine neue, schicke Ober äche eine ältere überlagert und es so zu Unstimmigkeiten in der Optik und leider auch der Logik bei der Nutzerführung kommt. Das war zum Beispiel bei Norton, G Data oder Avira zu beobachten. Eine sehr schöne Ober äche hat im Prinzip Avast, nur leider nervt sie mit Eigenwerbung. Wenn ich mit einem Kangoo unterwegs bin, will ich nicht dauernd hören: „Mit einem Porsche hätten Sie diesen LKW jetzt aber überholt!“.
Gut gefallen haben uns beispielsweise die detailreichen Einstellmöglichkeiten bei Eset oder die guten Erklärungen zu den Einstellmöglichkeiten bei Norton. Ein weiterer wichtiger Punkt bei der Bedienung betrifft die Kommunikation mit dem Anwender im Falle eines Angriffs. Der Anwender will hören: Was ist genau passiert? Was hat das Schutzprogramm gemacht? Bin ich sicher? Hier gibt es erhebliche Unterschiede. Kaspersky meldet lapidar: „Das Objekt wurde gelöscht. Datei xyz“. Ja, und jetzt? War das ein Virus? Was heißt hier „Objekt“? Auch FSecure lässt uns im Regen stehen: „Schädliche Datei blockiert! … Ihr Computer wird auf weitere Bedrohungen gescannt.“Das ist löblich, aber der Anwender erfährt nie, wie der weitere Scan dann ausgeht.
Die Meldung von G Data ist zwar insgesamt aussagekräftig, überlässt aber die Wahl der Aktion dem Anwender. Besser nden wir es, wenn das Sicherheitsprogramm den Virus zuerst in Quarantäne schickt, das auch vermeldet und es dem Anwender überlässt – wenn er denn wirklich will – die Datei wieder aus der Quarantäne zu zerren. Das schlechteste Beispiel liefert aber McAfee: links ein grüner Haken „Sicher“, rechts ein rotes Warndreieck „Starten Sie den PC neu … damit wir die Bedrohung entfernen können.“Solange die Bedrohung nicht entfernt wurde, ist „Sicher“nur der fromme Wunsch des Herstellers (siehe Bild links).
Eine klare Kommunikation betreiben Eset, Trend Micro und besonders Avast: ein großer grüner Haken, dann „Bedrohung gesichert. Wir haben xyz in Ihren Virus-Container verschoben, da es mit abc in ziert war.“Das ist alles, was ich erstmal wissen muss.
Verbesserter Schutz mit KI
Alle Anbieter setzen bei ihren SicherheitsSuiten verstärkt Komponenten mit künstlicher Intelligenz (KI) zur Virenerkennung ein. Das ist auch naheliegend, denn die großen Datenmengen an bekannten guten und bösen Dateien bilden die ideale Voraussetzung für KI: Big Data. Forscher von Avira sprechen von etwa 200 Millionen Dateien mit jeweils 8.000 Merkmalen. Aufgrund der stark strukturierten Daten kommen als KI-Algorithmen weniger die neuronalen Netze zum Einsatz, als vielmehr Verfahren wie Entscheidungsbäume (bzw. Random Trees). Auch die Bösewichte haben KI für sich entdeckt und optimieren z.B. Dateien oder URLs so, dass sie eben nicht erkannt werden. Der Trojaner Emotet nutzt KI, um zu analysieren, ob er unter Beobachtung in einer virtuellen Umgebung läuft. Dann schaltet er sich ab. Im Gegensatz zur Corona-Seuche, die eben nicht von irgendjemand intelligent vorangetrieben wird und daher hoffentlich bald von menschlicher Intelligenz besiegt ist, wird die Computerviren-Seuche ein stetes Hase- und Igelspiel bleiben – auch mit und trotz KI.