"Antivirus hat ein verdächtiges..." "Schnauze!"

Es gibt eine Nachricht, auf die unsere Belegschaft denkbar knurrig reagiert. Meistens kommt eine Mail: "XY-Antivirus erkennt unser Programm YZ als Virus an". Könnte man mit schlechter Laune Energie gewinnen, wir würden dann ganz Deutschland versorgen!

Denn wir kennen das Spiel leider allzu gut. Auch wenn ich damit eine Pointe vorweg nehme: Es sind immer Fehlalarme, wir verschicken keinen Schadcode. Das hindert allerdings Antivirus-Programme, Malware-Scanner, Betriebssysteme oder gar Browser (!) nicht daran, fleißig Alarm zu schlagen, wenn Programme von uns (und zahlreichen anderen Firmen) geladen oder ausgeführt werden sollen. Um es kurz zu machen, es geht um ein Rennen, ein Rennen um Vertrauen - und Millionen Euro.

Eigentlich fing alles ganz harmlos an. Böse Mädchen (und vor allem) Jungs schrieben Viren, Würmer und andere unschöne Programme, die entweder gefährlich oder einfach nur nervig waren. Gute Antivirusprogramme hatten umfangreiche Signaturen, mit denen sie diese Schädlinge "verglichen" und meistens erkannten. Kamen neue Bedrohungen, gab es neue Signaturen und wer nicht auf üblen Crack-Seiten unterwegs war und ein gutes AV-Programm hatte, konnte sich ziemlich sicher fühlen. Diese besseren Programme machten das alles in Echtzeit und scannten so Dateien, Arbeitsspeicher und den Netzwerk-Verkehr. Das ging eine Weile gut, bis die Anzahl der Viren immer größer wurde und die Variationen immer schneller produziert wurden.

Bislang waren alle Methoden reaktiv gewesen, was heißt, dass die Schädlinge bekannt sein mussten, bevor sie erkannt wurden. Unterschied sich der Schadcode von den Signaturen, blieb Antivirus stumm und unschöne Dinge passierten auf dem Rechner. Da die Erschaffer der Viren aber nicht dumm waren, veränderten sie ihren Code ständig so, dass sie von den Antivirus-Programmen nicht länger erkannt wurden und bewiesen dabei verblüffende Beharrlichkeit und Kreativität. Eine wahre Flutwelle von Schadsoftware ergoss sich über das Internet und stellte Schutz-Programme vor große Probleme. Ein hoch lukrativer Markt kam ins Wanken, das Vertrauen schwand. Daher wurden proaktive Methoden erdacht, die Bösewichter schon erkennen sollten, bevor sie überhaupt bekannt waren und in Signaturen erfasst werden konnten. Man wollte im Rennen die Nase vorn behalten.

Eigentlich eine gute Idee, die leider praktisch ein Problem hat, das jeder Polizist kennt: Woran erkennt man eigentlich Verbrecher, wenn man sie nicht in flagranti erwischt? Im Endeffekt versucht man aufgrund des Verhaltens einer Datei zu schließen, ob es sich um Schadsoftware handelt. Wie problematisch das ist, zeigt sich, wenn man wieder an den Polizisten denkt. Dieser Polizist müsste präventiv Menschen verhaften, die sich ähnlich verhalten wie bekannte Verbrecher, vielleicht ähnlich aussehen oder aus der gleichen Gegend kommen. Genau das versuchen die klassischen proaktiven Methoden - und liegen damit gerne mal falsch. Mit den Mitteln der Heuristik, Verhaltens-Analyse und dem Ausführen in einer sicheren Umgebung (nennt sich Sandbox, man simuliert dort, was die Programme anstellen könnten) beobachtet man jedes Programm und prognostiziert das Gefahren-Level.

Dabei werden nicht nur Viren gefunden, sondern auch diverse Ashampoo-Mitarbeiter bis an den Rand der Raserei getrieben. Denn False Positives (Fehlalarme) treten immer wieder auf, für unsere Programme und die anderer Software-Firmen. Zudem versuchen mittlerweile nicht nur AV-Programme, sondern auch Browser, neuere Betriebssysteme und diverse Malware-Scanner, Schadsoftware zu erkennen. Sicherheit verkauft sich, man möchte Vertrauen schaffen, das verstehe ich vollkommen. Für uns als Firma heißt das - noch mehr Fehlalarme, die wir melden müssen und dann hoffen, dass schnell reagiert wird. Alles was neu ist, wird zunehmend kritisch beurteilt, weil das Programm noch keine gute Reputation hat, also noch nicht als bewährt und sicher gilt. Was verwundert: Bei manchen Herstellern kann man die Reputation auch kaufen. Für eine nette Summe gilt man plötzlich als bekannt und vertrauenswürdig. Nun ja.

Verstehen Sie mich nicht falsch, Antivirus-Programme haben ihre Berechtigung. Zusammen mit einem schlauen Nutzer, der nicht auf alles klickt, was sich ihm bietet, tragen sie zur Sicherheit eines Systems bei. Man sollte sich nur nicht blind darauf verlassen, ob nun bei einem anscheinend sauberen Setup oder bei einem (Fehl-)Alarm. Falls Sie sich unsicher sind, wenn Sie etwas von uns herunter geladen haben, klicken Sie mit der rechten Maustaste auf das Setup (sprich: die EXE) und wählen in dem Kontext-Menü Eigenschaften. Klicken Sie dort auf Digitale Signaturen - und erscheint dort unsere Signatur, so ist es von uns und sicher. Ich hoffe wirklich, dass die proaktiven Methoden weiter entwickelt werden, um Schädlinge noch zuverlässiger auch ohne Signatur erkennen zu können. Das wäre sicherer für uns alle - und ich hätte noch entspanntere Kollegen.