Virenschutz: Wie arbeiten die erfolgreichen Programme?

Virenschutz: Wie arbeiten die erfolgreichen Programme?

Eine Antivirus-Software schützt den PC vor Ransomware, Trojanern und anderer Malware. Zuerst untersucht das Schutzprogramm jede Datei, unabhängig davon, wie sie auf die Festplatte gelangt. Der erste Hinweis auf Malware sind die Virensignaturen. Das sind Fingerabdrücke schädlicher Programme, die der PC-Wächter mit den neuen Dateien vergleicht. Passt der Fingerabdruck, ist die Datei schädlich. Der Schutz und die Arbeitsweise der Schutzschilder geht mittlerweile auch andere Wege. Auf der Suche nach dem passenden Virenschutzprogramm ist es von daher empfehlenswert, einen Blick auf die Arbeitsweise der Software zu werfen.

Klassischer Schutz durch Virensignaturen

Moderne Virensignaturen passen für ganze Virenfamilien. Sie erkennen die Bedrohung, wenn sie leicht verändert ist. In diesen Bereich fällt die Heuristik, bei der Programmcodes analysiert und mit all dem bisher bekanntem schädlichen Programmcodes verglichen werden. Sobald ein gewisser Prozentsatz übereinstimmt, meldet das Programm den Code als verdächtig und blockiert ihn. Dies ist eine wichtige Sicherheitsfunktion, die vor Schadsoftware schützt.

Die Virensignatur gehört zum ältesten Mittel der Malware-Bekämpfung und ist heute kaum noch relevant. Der Grund ist simpel: Die Programme arbeiten zu langsam. Findet ein Schutzprogramm eine ihm unbekannte schädliche Datei, schickt es diese an das Virenlabor, wo Experten diese untersuchen. Sie erstellen anschließend eine Signatur und leiten ihre Informationen an alle PCs der Nutzer weiter – das kann mehrere Stunden dauern.

Weltweit sind unzählige Schädlingsvarianten pro Minute im Umlauf. Wären Schutzprogramme auf Signaturen angewiesen, würden sich Hunderte PCs infizieren, bevor die Viren erkannt werden. Auch bei der Heuristik muss der schädliche Code bekannt sein, um den Schutz zu gewährleisten.

Virenschutz basierend auf dem Verhalten

Die verhaltensbasierte Erkennung ist ein weiterer Ansatz für die Schutzprogramme. Dabei wird die Datei im Hintergrund in einer abgesicherten Umgebung ausgeführt und das Verhalten der Datei beobachtet. Dies garantiert einen umfassenden Schutz vor möglichen Gefahren und sorgt für die nötige Sicherheit. Das Schutzprogramm scannt alle Dateien auf dem Computer und blockiert die verdächtigen. Diese werden dann nicht mehr ausgeführt und können keinen Schaden anrichten.

Die Methode, die hier beschrieben wird, versuchen Hacker zu manipulieren. Dafür nutzen sie Programme, die erst gar nichts machen und Stunden später Module nachladen und aktivieren. Obwohl es natürlich wichtig ist, dass ein Schutzprogramm eine Datei gründlich prüft, bevor sie geöffnet wird, ist es dem PC-Nutzer nicht zumutbar, Stunden auf die Freigabe zu warten. Aus diesem Grund ist die Prüfung zeitlich begrenzt.

Zeitgemäß und komplex: KI Virenschutz

Die KI arbeitet in der Cloud des Sicherheitsherstellers und ist mittlerweile die wichtigste Technologie zur Abwehr von Malware. Findet das Schutzprogramm auf einem PC eine unbekannte Datei, fragt sie in der Cloud, ob sie dort bekannt ist. Andernfalls lädt es sie zur Untersuchung hoch. In dieser Cloud durchleuchtet die KI alles, was sie in einer Datei findet. Dies beinhaltet das Erstellungsdatum, in welchem Land es zuerst auf einem Computer gefunden wurde, wie oft es bereits ausgeführt wurde und andere Dinge, etwa welche Variablen im Programmcode vorkommen. Die KI untersucht Dateien und ordnet diese anhand von vorher festgelegten Kriterien einem Risikowert zu.

Wenn eine Datei bereits auf zwei Millionen PCs ausgeführt wurde, erhält sie den Risikowert 0. Wird eine Datei zum ersten Mal gesichtet, kann sie einen Risikowert von 50 haben. Die KI zählt alle diese Werte zusammen. Sobald der Gesamtrisikowert eine bestimmte Schwelle überschreitet, wird die Datei als schädlich eingestuft und es erscheint eine Warnung.

Die KI verbessert sich und passt die Risikowerte, Kriterien und Schwelle immer wieder an. Sie ist unvoreingenommen und berücksichtigt alle Fakten in gleichem Maße. Wenn beispielsweise analysiert wird, dass Dateien, die an einem Dienstagmorgen in Bonn zum ersten Mal gesichtet wurden und mehr als 20 Sonderzeichen im Programmcode haben, zu 100 Prozent schädlich sind, nimmt die KI diese Erkenntnis lediglich auf. Ein Virenexperte würde vermutlich nicht sagen, dass dies ein relevantes Kriterium ist, weil er weiß, dass es keine sachlichen Gründe gibt. Wenn man sich die Zahlen ansieht, ist es kein Wunder, dass inzwischen nahezu jeder Hersteller eine Risikoprüfung durchführt.

Was muss zeitgemäßer Virenschutz heute leisten?

Einen zeitgemäßen und zuverlässigen Schutz gewährleisten die Hersteller durch den Einsatz mehrerer Scan-Engines. Die Inhalte werden anschließend durch verschiedene Technologien geprüft. Auf diese Weise kann die Automatik der Virenschutzprogramme perfekt arbeiten.

Nicht zuletzt die Bedienung sollte einfach von der Hand gehen und keinerlei Probleme mit sich bringen. Moderne Programme sind ein wichtiger Schutzschild für alle Computer-Nutzer. Sie laufen im Hintergrund und bewahren so alle Daten vor unerwünschtem Zugriff und möglichen Schäden.