Was ist ein Antivirenprogramm? Ist es noch notwendig?

Was ist ein Antivirus? Ist dieser sicher?

Dieser Post soll Dir einen Einblick in die Funktion und Möglichkeiten eines Antivirus-Programmes geben.

Was ist ein Antivirus?

Ein Antivirus-Programm (oder auch Virusscanner) ist ein Programm, welches Malware anhand von z. B. Virussignaturen erkennt. Die Software untersucht jede gespeicherte Datei auf Deinem Computer (Festplatte) und jede Datei, die neu auf Deinen Computer gelangt (Web, Mail, FTP, USB).

Was ist eine Malware?

Eine Malware (deutsch Schadprogramm) ist eine Software, welche eine unerwünschte Funktion mit sich bringt, die der Malware-Entwickler absichtlich eingebaut hat. Eine unerwünschte Funktion ist z. B. das Löschen aller Dateien auf der Festplatte, die Änderungen an Dateien oder die Verschlüsselung von Dateien.

• Ein Trojaner überwachen Aktivitäten auf Deinem PC z. B. den Bildschirm oder Tastatur.
• Ransomware: Nachdem Du Dir ein scheinbar harmloses Programm heruntergeladen hast, verschlüsselt die Ransomware im Hintergrund Deine Daten. Sobald das Programm fertig ist, fordert das Programm Dich auf für das Entschlüsseln zu bezahlen.
• Ein Computer-Virus verbreitet sich mit menschlicher Hilfe z. B. von einem USB zu Deinem Laptop und von Deinem Laptop zu einem anderen USB. Dieser kann sich selbst kopieren.
• Ein Wurm ist eine sich selbst verbreitende Software. Der Wurm nutzt Dein Mail-Programm und sendet sich selbst an alle Deine Kontakte.

Was ist Virus-Signatur?

Eine Virussignatur ist ein Erkennungsmerkmal einer Malware. Malware kann in verschiedenen Formen auftreten, trotzdem erkennt der Antivirus-Algorithmus gefährliche Code-Abschnitte.

Das Antivirus-Programm scannt Deinen Computer nach diesen Merkmalen ab. Der Antivirus vergleicht nicht die bekannten gefährlichen Code-Abschnitte mit Deinen Daten, sondern nutzt kryptografischen Hashs (der Fingerabdruck einer Datei).

Der Antivirus vergleicht die berechneten Hash-Werte mit denen der bekannten Hashes aus der Virus-Signatur-Datenbank. Damit kann der Scanner prüfen, ob sich in einem neuen (großen) Software-Paket sich ein bekannter Virus befindet.

Typen von Antivirus-Programmen

Im Internet findest Du Antivirus-Programme wie Sand am Meer. Aber welche Typen gibt es?

• Lokale Installation: Ein Antivirenprogramm kann lokal auf Deinen Computer installiert sein. Das Programm untersucht andere Dateien, sobald Du diese herunterlädst oder ausführst. Für private Nutzer ist dies die beliebteste Art des Schutzes.
• Server Scanning: Unternehmen nutzten zusätzlich zu der lokalen Installation eine Server-Anwendung. Der Antivirus filtert die eingehenden Daten und stoppt sofort verdächtige Downloads. Die Server scannt alle E-Mail Anhänge und alle Dateien, die ein Mitarbeiter in die interne Cloud oder Speicher-Infrastruktur lädt. Sind die Inhalte verschlüsselt hat der Scanner keine Chance.

Scan-Methoden

Die Antivirus-Anbieter verwenden unterschiedliche Strategien zum Scannen. Manche Anbieter unterteilen jede Datei in kleinere Datenblöcke und berechnen von den einzelnen Abschnitten den Hash.

Das Programm kann spezifisch, generisch oder heuristisch scannen, je nachdem welches Antivirenprogramm Du nutzt. Die bekannteste Variante ist das spezifische Scannen.

• Spezifisch: Der Antivirus sucht nach den bekannten Virussignaturen, die vorher schon jemand als schädlich klassifiziert und veröffentlicht hat. Beim spezifischen Scan prüft der Antivirus alle eingehende Datenströme:
  • Downloads von Firefox
  • Herunterladen von Bildern in einer Mail oder auf einer Webseite
  • Übertragung von Dateien von einem USB-Stick
  • Datenstrom einer FTP-Verbindung
  • Windows-Update-Stream
• Generisch: Das Programm sucht nach ähnlichen Virensignaturen (Abwandlungen)
• Heuristisch: Der Antivirus überwacht das Verhalten eines Programms bei der Ausführung. Je nach Verhalten klassifiziert das Programm, diesen als schädlich oder harmlos. Mit dieser Methode kann das Schutzprogramm neue Viren erkennen. Basierend auf einer Künstlichen Intelligenz und ein Trainings-Datensatz kann das Antiviren-Programm das Verhalten des neuen Programms korrekt interpretieren.

Scan-Strategien

Jeder Hersteller und Nutzer geht beim Scannen mit einer solchen Software anders vor. Die bekanntesten Strategien sind die Echtzeit-, die Manuelle- und die Online-Strategie.

• Echtzeit: Ein Hintergrund-Dienst der Software scannt jegliche Dateien sofort, wenn diese über E-Mail, Downloads, HTTPs, FTPs usw. den Computer erreichen.
• Manuell: Der Nutzer startet ein Scan-Prozess für eine Datei oder Verzeichnis. Bei Fund erscheint eine Warnmeldung, Löschen, Quarantäne und Reinigung der Malware vom Computer.
• Online: Diese Strategie funktioniert wie die manuelle Strategie, nur dass dieser viele verschiedene Virenscanner-Software gleichzeitig abfragen (z. B. VirusTotal)

Umfang des Schutzes – Noch notwendig?

Eine solche Software ist kein Freifahrtschein für alle Aktivitäten im Internet. Der folgende Abschnitt erklärt, welche Versprechen der Hersteller echt sind

Davor schützt ein Antivirus

Der Antivirus schützt Dich in erster Linie vor Malware, die bekannt sind. Auf der Welt wurde mindestens 1 Computer mit Malware infiziert. Der Betroffene hat den Vorfall an den Hersteller gemeldet. Alle anderen Computer mit geupdateten Virus-Signaturen sind geschützt.

Tritt der Fall ein, dass Du einen nicht gemeldete Malware herunterlädst, kann Dich die Malware trotz eines Antivirus-Programms infizieren. Manche Hersteller warnen Dich pauschal bei einem unbekannten Softwarepaket

Der Antivirus kann unbekannte Software mit einer „Künstlichen Intelligenz„, Heuristiken oder Sandboxing untersuchen. Diese Verfahren können erfolgreich sein (Malware korrekt erkennen), aber auch zu Falsch-Meldungen bei harmloser Software führen.

Davor schützt ein Antivirus NICHT

Antivirensoftware erkennt nur etwa 45 % aller Angriffe!

Symantec-Vizechef Brian Dye

Die meisten Antivirusprogramme basieren auf den Virussignaturen (Echtzeit-spezifisch).

Wenn Du Dein Antivirus aktuell mit den neusten Signaturen hältst, dann kann der Antivirus Dich nur noch vor alter Malware schützen. Wichtig ist, dass kein drittes Programm (absichtlich / unabsichtlich) den Update-Prozess des Antivirus-Programms unterdrückt oder falsche Informationen dem Antiviren-Scanner sendet.

Hat es ein Hacker auf Deine Person abgesehen und sendet Dir eine Malware „extra für Dich“ zu, dann stehen die Chancen sehr schlecht (Spear Phishing). Hinter frage jeden E-Mail-Anhang, der Dich erreicht! Oft verwenden die Kriminellen eine Doppelendung Rechnung.pdf.exe oder Rechnung.docx.sh. Linux Systeme verbieten die Ausführung von neuen Skripten und Windows System warnen. Du musst erst den Flag für die Skript-Ausführung setzen, bevor das Programm läuft

Signaturen sind keine Wunderwaffe

Problem: Neue Viren und Würmer findet ein normaler Virus nicht.

Signaturen-Mist

Polymorphe Viren haben keine eindeutige Signatur / Hash-Wert. Die Kriminellen haben einen Virus entwickelt, welcher sich selbst verändern kann.

Der Antivirus kann Signaturen ermitteln, aber diese variieren von Gerät zu Gerät und von Zeitpunkt zu Zeitpunkt. Die Hersteller versuchen mit unscharfen Hashes zu arbeiten, die nicht empfindlich gegenüber kleinen Veränderungen sind.

Effektiver 7-Schritt Schutz vor Malware

Wie kannst Du Dich trotzdem als Normalsterblicher vor Hackerangriffen durch eine Malware schützen?

#1 Basisschutz aktivieren

Obwohl ein Antivirus-Programm nicht alle Malware findet, solltest Du trotzdem eines verwenden. Das gilt für Windows, Linux oder Mac. So findest Du den Großteil der Computer-Viren, die schon bekannt sind. Wenn Du Open-Source fixiert bist, dann nutzt Du ClamAV. Alternativ nutzt Du einen kommerziellen Antivirus von z. B. von verschiedenen Ländern und Weltanschauungen. Wenn der Hersteller aus dem Land X kommt, dann sind die Staatstrojaner des Lands X „erlaubt“. Nutzt Du zusätzlich einen weiteren von Land Y, dann erkennt dieser vielleicht den Staatstrojaner von Land X und andersherum. VirusTotal ist z. B. ein Online Virus Scanner von Google, welcher 60 verschiedene Scanner nutzt. Nicht alle Scanner schlagen bei einem Virus Alarm. Das kann organisatorische, politische oder programmtechnische Gründe haben.

#2 Alte Software updaten

Denke daran, alle Deine Programme auf Deinem PC aktuell zu halten. Am einfachsten hältst Du den Computer über ein automatischen internes Software-Updater wie in Firefox aktuell oder Du nutzt eine Package-Manager Windows (Chocolatey), Debian (apt-get) und Linux (Homebrew).

Viele IT-Unternehmen müssen Ihre Programme erneuern, damit der neue Release die Fehler und Sicherheitslücken in der alten Version schließen kann.

#3 Einfallstor Betriebssystem

Update Dein Betriebssystem: Viele Kriminelle versuchen in Windows, Mac und Linux Schwachstellen zu finden, weil Sie damit den größten Schaden anrichten können. Wenn Du eine Sicherheitslücke in Windows findest, hast Du einen Zugang zu 1,5 Milliarden Computern gefunden.

#4 Keine „Ausnahmen“

Selbst auf Linux oder macOS bist Du nicht für Hacker geschützt. Linux / IoT-Malware ist auf dem Vormarsch und Du kannst in macOS auch andere Apps, die nicht aus dem Appstore kommen laufen lassen.

Installiere nur Programme und Apps nur aus vertrauenswürdigen Quellen. Ein offizieller App-Marktplatz oder hohe Kosten sind keine Garanten für eine Malware-Freiheit. Der Store verkauft den Nutzer Malware, ohne dass der Hersteller davon etwas mitbekommen hat.

Im Idealfall nutzt Du populäre Open Source Software, welche von viele Augen auf Sicherheit geprüft haben. Andre Unternehmen veröffentlichen Open Source Software und bieten zusätzlich einen Wartungsvertrag mit Patching an, welcher im Idealfall funktioniert.

#5 Neue Software sicher nutzen

Wenn Du ein neues Programm brauchst, lade Dir die Dateien nur bei den bekannten Download-Plattformen herunter. Bevorzuge die Version in einem offizellen Repo oder AppStore und verwende keine Forks usw.

#6 Mails

Hinterfrage jeden E-Mail-Anhang – egal von wem. Ein Excel-Makro, eine verschlüsselte Zip oder eine Jar-Datei kann schneller Deinen Computer infizieren als Du glaubst.

#7 Letzte Rettung

Sichere alle Deine Daten in einem regelmäßigen Rhythmus z. B. jeden Freitag.

Entferne das Kabel der Backup-Festplatte von Deinem Computer nach dem Backup, sonst hast Du den Virus auf der Backup-Festplatte auch „gesichert“.

Antivirus für Fortgeschrittene – Sandboxing

Eine Sandbox ist ein isoliertes Betriebssystem in einer virtuellen Maschine. Der Dateispeicher und Hauptspeicher sind getrennt, sodass die Malware nur die virtuelle Maschine und nicht die Host-Maschine zerstört.

In einer Sandbox kannst Du nicht vertrauenswürdige Software öffnen und testen. Die Sandbox überprüft und überwacht das Verhalten der Malware. In einer Sandbox kannst Du sicher, Anhänge öffnen.

Moderne Antiviren-Programme nutzten das Sandboxing, um schadhafte E-Mail-Anhänge zu filtern, bevor die Mail im E-Mail-Eingang laden kann. Die Software führt die Anwendung in der virtuellen Maschine aus oder öffnet das Dokument. Dann wartet das Programm und protokolliert das Verhalten des Programms.

Bei ungewöhnlichen und ungewollten Aktivitäten kann der Analyst das neue Programm als Malware einstufen. „Seltsame“ Aktivitäten sind z. B. …

• Änderungen an der Windows Registery
• Aufrufe von entfernten IPs direkt nach dem Start
• Änderungen an System-Dateien
• Verschlüsselungsalgorithmen
• Änderungen in den Einstellungen (generell)
• Dateioperationen

… bewertet der Antivirus als gefährlich oder harmlos. Je mehr Aktivitäten seltsam sind, desto eher schätzt der Antivirus die Software als Malware ein.

Mehr zu Sandboxing findest Du in dieser Erklärung

Nice to know:

Personaler erhalten von vielen Unbekannten E-Mails mit Anhängen. Damit diese sich die Bewerbungsunterlagen ansehen können, müssen diese die Anhänge öffnen. Nicht jeder Bewerber ist ein Bewerber, sondern ein Krimineller der Schaden verursacht.