Antiviren-Software
In den vergangenen Jahren hat sich die Antiviren-Software für den PC kaum weiterentwickelt. Heuer könnte sich das ändern. Mit neuen Schutzmechanismen und Zusatzgeräten sollen Unternehmensnetze genauso wie der Internetzugang zu Hause sicherer werden.
DIE ANTIVIRENPROGRAMME für den PC haben ihre letzten beiden großen Neuerungen schon vor etlichen Jahren bekommen: Das waren die verhaltensbasierte Erkennung von Viren und eine Reputationseinstufung von Programmen. Bei der ersten Technik beobachtet die Antiviren-Software, was ein neues Programm auf dem PC anstellt. Ist das Verhalten verdächtig, wird das Programm gestoppt. Bei der zweiten Technik wird von einem neuen Programm ein digitaler Fingerabdruck genommen, im einfachsten Fall als Hash-Wert, und mit einer Datenbank beim Hersteller abgeglichen. Oft werden die beiden Techniken auch kombiniert genutzt: Wenn ein Programm dem Verhalten nach verdächtig erscheint, wird sein Fingerabdruck oder gar der komplette Code zum Hersteller gesendet.
Raffinierte Virentricks
Verhaltensbasierte Erkennung und Reputationsbewertung sollten eigentlich effektiv arbeiten – dennoch gelingt es Kriminellen immer wieder, die Antivirenprogramme auszutricksen. Ein Beispiel: Ein Spionagevirus gelangt über eine Sicherheitslücke in Adobe Flash auf den PC des Opfers und kann sich so auch gleich starten. Doch dann führt er die nächsten zehn Minuten keine weiteren Aktionen aus. Der Grund: Einige Antivirenprogramme beobachten neue Software nur einige Minuten lang mit ihrer verhaltensbasierten Erkennung. Ist in der Zeit nichts Verdächtiges vorgefallen, wird diese Art der Überwachung eingestellt. Das geschieht aus Performance-Gründen, denn die verhaltensbasierte Erkennung bremst das System teils spürbar aus. Wenn aber die zehn Minuten vorbei sind, startet der Virus sein schädliches Werk, ohne von der SicherheitsSoftware erkannt zu werden.
Trends bei Business-Software
Antiviren-Software auf den Rechnern in einer Firma haben zunächst einmal genauso mit Viren zu kämpfen wie die Schutzprogramme auf privaten PCs. Allerdings haben Firmennetze einen Vorteil: Die Administratoren können die Nutzung der PCs deutlich strenger reglementieren und überwachen, als das für einen Heim-PC in der Regel sinnvoll oder wünschenswert ist. Entsprechend lassen sich in Firmennetze
komplexere Schutzmodule einsetzen. Ein interessantes Beispiel kommt vom spanischen Antivirenhersteller Panda Security (www. pandasecurity.com). Er nennt sein Produkt Adaptive Defense. Das Modul analysiert alle aktiven Prozesse (Programme) auf einem PC und lässt in der strengsten Einstellung nur bekannt harmlose Software zu. Darüber hinaus werden alle Aktivitäten auf dem PC registriert und laufend bewertet. Alle ermittelten Daten werden dafür auf den Servern des Antivirenherstellers analysiert. Dass dadurch eine große Datenmenge entsteht, ist kein Nachteil, sondern ein Vorteil. Denn Anomalien im System fallen in der Masse viel schneller auf. Nimmt etwa ein PC Kontakt mit einem chinesischen Server auf, obwohl das Firmennetzwerk noch nie mit chinesischen Rechnern Kontakt hatte, ist das alarmierend. Da der Rechner nun als möglicherweise infiziert gilt, wird er genauer untersucht. Unter dem Blickwinkel einer möglichen Infektion lassen sich die vorangegangenen Aktivitäten nun besser analysieren. Dank Protokoll ist eine erneute Analyse möglich. Die kann teilweise automatisiert stattfinden, geschieht aber im Zweifelsfall auch durch Sicherheitsexperten in den Laboren von Panda. Grundsätzlich handelt es sich bei Adaptive Defense um eine stark weiterentwickelte verhaltensbasierte Erkennung. Aktuell kann das allerdings nicht auf einen Heim-PC übertragen werden. Zum einen lassen sich dort meist nicht so strenge Vorgaben in der Programmnutzung machen, zum anderen ist dort die exakte Überwachung aller Aktionen oft nicht gewünscht. Und schließlich ist dieser Dienst auch noch vergleichsweise teuer. Die Kosten sind deshalb so hoch, weil im Zweifelsfall ein Experte und nicht ein Programm auf eine verdächtige Aktion schauen muss.
Internetzugang schützen
Im Laufe des Jahres 2016 werden neue Schutzgeräte für den Internetzugang angeboten. Aktuell stehen etwa der Eblocker (www. eblocker.com) und F-Secure Sense (https:// sense.f-secure.com) in den Startlöchern. Der Eblocker soll ab Anfang Januar für rund 200 Euro pro Jahr verkauft werden. F Secure Sense kostete Ende 2015 als Vorbestellung 99 Euro, soll aber künftig ebenfalls mit rund 200 Euro pro Jahr zu Buche schlagen. Beide Geräte verbinden Sie unkompliziert mit Ihrem DSL-Router. Der Eblocker konfiguriert alle Geräte im Netzwerk so, dass sie Webseiten künftig über ihn aufrufen. Dieser will Sie beim Surfen vor Tracking schützen und filtert entsprechend alle Cookies von Werbenetzwerken und andere Tracking-Elemente heraus. F Secure Sense soll deutlich mehr bieten. Das Gerät soll Viren, Phishing-Sites und andere Internetärgernisse erkennen und blockieren. Beiden Geräten gemeinsam ist, dass sie alle Geräte im heimischen Geräte schützen können. Somit sind nicht nur PCs, sondern auch Smartphones, Tablets und sogar weitere internetfähige Gerät wie der iPod Touch beim Surfen im geschützt. Der hohe Preis von 200 Euro relativiert sich also, wenn Sie in einem Haushalt viele Geräte schützen möchten.