Warum Malware-Erkennung schwierig ist – und unterschätzt wird
Das Erkennen von Malware ist schwierig und bedarf ständiger Verbesserungen, um Netzwerke wirkungsvoll zu schützen. Dennoch haben Antiviren-Programme den schlechten Ruf, veraltet, unflexibel und altmodisch zu sein. Ist daran etwas Wahres?
Immer wieder lesen wir Artikel wie "Traditionelles Antivirus ist tot" und "Diese KI ist besser als Antivirus". Die Autoren behaupten, dass Antiviren-Produkte absichtlich veraltete Technologien verwenden und sich weigern, in ihre Systeme neue KI- und andere Technologien einzubauen. Zeit, um mit zwei Mythen der IT-Sicherheit aufzuräumen.
Mythos 1: Antiviren-Produkte verwenden veraltete Technologien
Der Mythos: Antiviren-Produkte suchen nur nach Mustern in Dateien und vergleichen Dateihashes mit Blocklisten.
Die Wahrheit: Diese Erkennungsmechanismen gibt es zwar immer noch, aber Antiviren-Produkte verwenden seit mindestens zwei Jahrzehnten andere Technologien zur Erkennung von Malware wie beispielsweise In-Memory-Scanning, algorithmusbasierte Signaturen, Verhaltensblocker und Netzwerkscanning. Trotz all dieser Fortschritte hält sich der Mythos bis heute hartnäckig.
Mythos 2: Eine Falsch-Positiv-Rate von 5 Prozent ist grossartig
Antiviren-Produkte sind nicht perfekt. Jeder hat schon einmal von falsch-positiven Ergebnissen gehört und ist vielleicht sogar damit konfrontiert worden.
Der Mythos: Eine Falsch-Positiv-Rate von 5 Prozent ist ausreichend.
Die Wahrheit: Computersysteme sehen nur selten Malware, sondern haben die meiste Zeit mit sauberen Dateien zu tun. Bei Windows 10 enthält beispielsweise der Ordner C:/Windows etwa 500 000 Dateien. Wenn wir von einer Falsch-Positiv-Rate von 5 Prozent ausgehen, wird die Erkennungstechnologie 25 000 dieser Dateien als bösartig einstufen. Die Zahl von 5 Prozent wäre also eine absolute Katastrophe für alle Beteiligten. Bei Antiviren-Produkten muss daher die Falsch-Positiv-Rate sehr viel niedriger sein.
Warum Antiviren-Produkte immer noch hilfreich und notwendig sind
Viele Menschen sind überzeugt, dass man zur Erkennung von Ransomware "nur" nach Programmen suchen muss, die viele Dateien auf einmal umbenennen und deren Informationsdichte durch Verschlüsselung erhöhen. Wer solche Heuristiken in die Praxis umsetzt, stellt fest, dass viele legitime Programme ein ähnliches Verhalten zeigen. Bei der Ransomware-Heuristik handelt es sich beispielsweise um Backup-Programme, die genau das Gleiche tun: Sie benennen massenhaft persönliche Dateien um und erhöhen ihre Entropie durch Komprimierung.
Antiviren-Produkte lösen dieses Problem, indem sie verschiedene Schutzmechanismen übereinanderschichten. Die Technologien werden kombiniert, um die beste Abdeckung zu erreichen. Einige von ihnen erkennen für sich genommen vielleicht nur 20 Prozent aller Schaddateien, weil sie auf bestimmte Arten von Angriffen oder Umgebungen spezialisiert sind, wie etwa Dateiformate, Verhalten oder andere Eigenschaften, die eine Voraussetzung sind. Aber wenn eine Teilmenge dieser Schaddateien von keiner anderen Technologie erkannt wird, lohnt sich die Implementierung dieser Schichtbauweise.
Schlussfolgerungen
Techniken und Technologien zum Erkennen von Malware sind in der Praxis recht komplex. Während viele Menschen überzeugt sind, dass hohe Malware-Erkennungsraten das primäre Ziel sind, ist eine niedrige False-Positive-Rate der wichtigste Indikator für die Qualität der Erkennungsheuristik. Die Falsch-negativ-Rate einzelner Technologien ist nicht so wichtig, solange die Erkennungsheuristik einige Löcher abdeckt. Die eine Technologie, die allen anderen überlegen ist, wird es nicht geben.
----------
Gegen Social Engineering ist selbst eine gute Antiviren-Software machtlos
Seit mehr als 30 Jahren ist Antiviren-Software ein wichtiger Bestandteil der IT-Sicherheit. Und muss immer wieder gegen Vorurteile ankämpfen. Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense, erläutert im Interview, welche Rolle Virenschutz heute in der IT-Sicherheit spielt.
Welchen Stellenwert haben Antiviren-Programme in der Abwehr von Cyberattacken?
Cornelia Lehle: Innerhalb der IT-Sicherheit besitzen Antiviren-Programme immer noch einen wesentlichen Stellenwert, da viele Angreifer eben Schadsoftware nutzen, um ins Netzwerk zu kommen und dort Schaden anzurichten. Antiviren-Programme sind aber kein Allheilmittel und erst recht kein Ersatz für andere Sicherungsmassnahmen wie Firewall, Back-ups oder Patchmanagement. Wer sein Netzwerk ganzheitlich schützen will, muss mehrere Bausteine miteinander kombinieren. Und wenn ein Baustein in der Abwehrkette fehlt oder nicht aktuell ist, ist die gesamte IT-Sicherheit geschwächt.
Wogegen helfen Antiviren-Programme und wogegen nicht?
Zum Einsatz kommt Antiviren-Software als spezialisierte Lösung gegen Schadsoftware – auch gegen solche, die bisher nur begrenzt in Erscheinung getreten ist. Sie kann aber nicht vor Sicherheitslücken und deren Ausnutzung schützen. Ein unvollständig gepatchtes System ist anfällig für Malware, selbst wenn der Malware-Schutz aktiv und aktuell ist. Auch gegen Social Engineering ist selbst eine gute Antiviren-Software machtlos.
Welche Bedeutung haben Antiviren-Programme in einer soliden Cybersecurity-Strategie eines Unternehmens?
Antiviren-Software kann immer nur Teil einer Sicherheitsstrategie sein. Eine Antiviren-Lösung alleine ist aber nie die gesamte Strategie, denn da gehören noch andere nicht minder wichtige Aspekte dazu, wie Rechteverwaltung, Patchmanagement, Firewalls etc. Um sie effektiv zum Einsatz zu bringen, muss jedoch auch die Konfiguration entsprechend eingestellt sein, sodass zum einen die Schutzkomponenten innerhalb der Antiviren-Software zum Tragen kommen. Zum anderen muss gewährleistet sein, dass Erkenntnisse und Berichte aus der jeweiligen Management-Konsole zeitnah an den richtigen Stellen ausgewertet werden. Wem es hier an fachkundigem Personal fehlt, sollte auf die Hilfe von IT-Dienstleistern zurückgreifen.
Wie schnell erkennen Antiviren-Programme bisher unbekannte Malware (Zero-Day-Virus)?
Auch bisher unbekannte Malware entdecken moderne Antiviren-Programme sehr schnell – das hängt immer von der jeweiligen Malware ab. Anders als früher sind Hersteller bei der Bekämpfung von Malware nicht mehr darauf angewiesen, erst Samples zu sammeln und eine Signatur zu erstellen und diese dann auszurollen. Das ist zwar immer noch wichtig, aber mittlerweile sind aufgrund der Reaktionszeit die proaktiven Schutzkomponenten ebenso wichtig wie reaktive Technologien.
Welche anderen Methoden zur Bekämpfung von Malware gibt es ausser Antiviren-Programme?
Mittlerweile ist Malware ein schwammiger Begriff geworden, da Angreifer immer wieder auch legitime Tools nutzen, um ihre Ziele anzugreifen. Hier ist also der Kontext wichtig, in dem eine bestimmte potenziell schädliche Software auftaucht. Dabei spielen auch Verhaltensweisen eine Rolle, die atypisch sind. In diesem Zusammenhang gewinnt die Auswertung von Logdateien an Bedeutung. Auch hier ist es sinnvoll, externe Experten zurate zu ziehen.
U-Blox bringt IoT ins Geschäft mit Rasenmährobotern
Das E-Rezept als Treiber der Digitalisierung
Künstliche Intelligenz – ist Ihre Infrastruktur bereit dafür?
Sicherheit im digitalen Zeitalter: Die Rolle von NIS2 für die Schweizer Wirtschaft
Dank Nutanix mit klarem Blick in die Zukunft
Wenn die Tribute von Panem ein Disney-Film wären
Schwachstelle ermöglicht Datenklau via Android-TV
"Datenschutzrechtliche Fragen sind noch nicht vollständig geklärt"
Valtech übernimmt Kin + Carta
