Kloiber: Heinz Schmitz, wieso häufen sich diese Fehlalarme eigentlich in letzter Zeit?
Schmitz: Die Fehlalarme häufen sich, weil es so viel mehr Bedrohung gibt. Waren 2004 noch ungefähr 10.000 neue Viren aktiv, so waren es im letzten Jahr schon 500.000. Die Panda Security meldet täglich 35.000 neue Viren. Und dagegen müssen die Antiviren-Hersteller Schutzmechanismen entwickeln. Die Virenprogramme, die Antivirenprogramme arbeiten heute so, dass man versucht typische Bitmuster in den Viren zu finden, oder in den Würmern zu finden. Diese werden in sogenannten pattern files hinterlegt. Wenn jetzt eine Datei herein kommt auf den Rechner, wird untersucht, ob dieses Bitmuster darin vorkommt, und wenn ja, wird die Datei aussortiert, beziehungsweise als Schädling in Quarantäne gestellt oder sogar gelöscht. Solange normale Programme betroffen sind, ist das an sich nicht weiter schlimm, die kann man neu installieren, Acrobat war jetzt einmal getroffen. Schlimm wird es, wenn zum Beispiel die user32.dll, die jetzt einmal betroffen war oder winlogon, dann bootet der Rechner nicht mehr oder man kann sich einfach nicht mehr anmelden. Also das System wird funktionsunfähig.
Kloiber: Das heißt, da werden Systemdateien erkannt als Schädlinge, die eigentlich unbedingt notwendig sind, damit der Computer überhaupt läuft. Sind denn von diesem Problem nur einzelne Virenscanner oder einzelne Produkte betroffen, oder trifft das systematisch alle angebotenen Virenscanner?
Schmitz: Bekannt geworden sind in letzter Zeit GData, AVG, Kaspersky und F-Secure, weil die versucht haben, möglichst schnell neue Antiviren-Pattern zu bringen. Alle, die patternbasiert arbeiten, können davon betroffen werden. Die Problematik ist ja, dass der Test gegenüber guten Programmen immer schneller passieren muss, weil man einfach keine Zeit mehr hat. Und dabei können Fehler passieren.
Kloiber: Gibt es denn Auswege aus dieser Situation, dass auf der einen Seite die Zeit drängt, um Schädlinge zu erkennen, auf der anderen Seite die Zeit zu kurz ist, um vernünftige Tests zu fahren und Fehler auszuschließen?
Schmitz: Es gibt verschiedene Ansätze: es gibt zum Beispiel die proaktiven Virenscanner, die arbeiten nicht mit Bit-Mustern, sondern die nehmen neu herein kommende Programme in eine so genannte Sandbox, also einen geschützten Bereich, lassen die dort ausführen, und wenn so ein Programm etwas verdächtiges macht, also in die registry schreiben will beim Start oder in den Bootsektor schreiben will, dann werden sie als Schädlinge klassifiziert. Der Nachteil bei dem Verfahren ist, das ist rechenaufwändig. Es kostet einfach zu viel Zeit. Und deswegen wird es nicht so gern genommen. Eine andere Möglichkeit wird vorgeschlagen, dass zum Beispiel "in the cloud" zu machen, also man redet ja von "cloud computing", das ins Netz zu verlegen, nicht auf dem PC einen Virenscanner zu installieren, sondern den irgendwo auf einem besonders leistungsfähigen Server zu haben, und alle Dateien laufen dann darüber. Das hat den Nachteil, alle Dateien laufen darüber. Und man weiß nicht, wer was damit macht mit seinen Daten. Und wenn einer in die Verbindung zwischen Webserver und dem PC kommt, den gehört dann alles. Also eine richtige Patentlösung gibt es zurzeit nicht.
Kloiber: Was aber macht man jetzt als Anwender? Normalerweise ist man ja froh, wenn man einen Schädling löschen kann, jetzt muss man aber Angst haben, dass man eine Systemdatei löscht. Das ist doch ein ganz schwieriges Konflikt, den man jetzt als die User aushalten muss.
Schmitz: Leider ja. Man kann aber von einem ausgehen, dass die Dateien, die man auf dem Rechner hat, erst einmal nicht infiziert sind, hoffentlich. Solange man keinen USB-Stick oder keine CD genommen hat, und die über die Systemdateien gegangen ist. Dateien, die neu reinkommen, sind ja keine Systemdateien, sondern da will man irgendein Update fahren, oder man will eine neue Software sich runterladen oder neue Musik oder sonst etwas runterladen. Wenn die als Virus erkannt wird, ist nicht weiter schlimm, Das kann man wirklich mit dem aktuellsten Version jeden Virenscanners machen. Wenn man einen einen Scan über die ganze Platte machen will, dann sollte man einen pattern file nehmen, das schon etwas älter ist, von dem man weiß, dass es stabil ist. Denn die Meldung über die unstabilen files, die gehen ja sehr, sehr schnell über die Foren.
Kloiber: Kann man das denn einstellen, ob man jetzt wirklich die neueste Beschreibung von Viren nimmt, oder ob man da eine ältere nimmt, kann man das in den Virenscanner einstellen, wenn man einen kompletten Check über die ganze Festplatte machen will?
Schmitz: Zunächst kann man einstellen, was man abchecken will, ob man nur die hereinkommenden files abchecken will, die E-Mails und Internet. B) kann man das automatische Update abstellen, und wenn man das macht, dann läuft man eben Gefahr, dann darf man eben derzeit nichts herunterladen, da läuft man in Gefahr sich einen Virus einzufangen. Aber wenn das pattern file einen oder zwei Tage alt ist, da kann man auch über die ganze Platte scannen.
Schmitz: Die Fehlalarme häufen sich, weil es so viel mehr Bedrohung gibt. Waren 2004 noch ungefähr 10.000 neue Viren aktiv, so waren es im letzten Jahr schon 500.000. Die Panda Security meldet täglich 35.000 neue Viren. Und dagegen müssen die Antiviren-Hersteller Schutzmechanismen entwickeln. Die Virenprogramme, die Antivirenprogramme arbeiten heute so, dass man versucht typische Bitmuster in den Viren zu finden, oder in den Würmern zu finden. Diese werden in sogenannten pattern files hinterlegt. Wenn jetzt eine Datei herein kommt auf den Rechner, wird untersucht, ob dieses Bitmuster darin vorkommt, und wenn ja, wird die Datei aussortiert, beziehungsweise als Schädling in Quarantäne gestellt oder sogar gelöscht. Solange normale Programme betroffen sind, ist das an sich nicht weiter schlimm, die kann man neu installieren, Acrobat war jetzt einmal getroffen. Schlimm wird es, wenn zum Beispiel die user32.dll, die jetzt einmal betroffen war oder winlogon, dann bootet der Rechner nicht mehr oder man kann sich einfach nicht mehr anmelden. Also das System wird funktionsunfähig.
Kloiber: Das heißt, da werden Systemdateien erkannt als Schädlinge, die eigentlich unbedingt notwendig sind, damit der Computer überhaupt läuft. Sind denn von diesem Problem nur einzelne Virenscanner oder einzelne Produkte betroffen, oder trifft das systematisch alle angebotenen Virenscanner?
Schmitz: Bekannt geworden sind in letzter Zeit GData, AVG, Kaspersky und F-Secure, weil die versucht haben, möglichst schnell neue Antiviren-Pattern zu bringen. Alle, die patternbasiert arbeiten, können davon betroffen werden. Die Problematik ist ja, dass der Test gegenüber guten Programmen immer schneller passieren muss, weil man einfach keine Zeit mehr hat. Und dabei können Fehler passieren.
Kloiber: Gibt es denn Auswege aus dieser Situation, dass auf der einen Seite die Zeit drängt, um Schädlinge zu erkennen, auf der anderen Seite die Zeit zu kurz ist, um vernünftige Tests zu fahren und Fehler auszuschließen?
Schmitz: Es gibt verschiedene Ansätze: es gibt zum Beispiel die proaktiven Virenscanner, die arbeiten nicht mit Bit-Mustern, sondern die nehmen neu herein kommende Programme in eine so genannte Sandbox, also einen geschützten Bereich, lassen die dort ausführen, und wenn so ein Programm etwas verdächtiges macht, also in die registry schreiben will beim Start oder in den Bootsektor schreiben will, dann werden sie als Schädlinge klassifiziert. Der Nachteil bei dem Verfahren ist, das ist rechenaufwändig. Es kostet einfach zu viel Zeit. Und deswegen wird es nicht so gern genommen. Eine andere Möglichkeit wird vorgeschlagen, dass zum Beispiel "in the cloud" zu machen, also man redet ja von "cloud computing", das ins Netz zu verlegen, nicht auf dem PC einen Virenscanner zu installieren, sondern den irgendwo auf einem besonders leistungsfähigen Server zu haben, und alle Dateien laufen dann darüber. Das hat den Nachteil, alle Dateien laufen darüber. Und man weiß nicht, wer was damit macht mit seinen Daten. Und wenn einer in die Verbindung zwischen Webserver und dem PC kommt, den gehört dann alles. Also eine richtige Patentlösung gibt es zurzeit nicht.
Kloiber: Was aber macht man jetzt als Anwender? Normalerweise ist man ja froh, wenn man einen Schädling löschen kann, jetzt muss man aber Angst haben, dass man eine Systemdatei löscht. Das ist doch ein ganz schwieriges Konflikt, den man jetzt als die User aushalten muss.
Schmitz: Leider ja. Man kann aber von einem ausgehen, dass die Dateien, die man auf dem Rechner hat, erst einmal nicht infiziert sind, hoffentlich. Solange man keinen USB-Stick oder keine CD genommen hat, und die über die Systemdateien gegangen ist. Dateien, die neu reinkommen, sind ja keine Systemdateien, sondern da will man irgendein Update fahren, oder man will eine neue Software sich runterladen oder neue Musik oder sonst etwas runterladen. Wenn die als Virus erkannt wird, ist nicht weiter schlimm, Das kann man wirklich mit dem aktuellsten Version jeden Virenscanners machen. Wenn man einen einen Scan über die ganze Platte machen will, dann sollte man einen pattern file nehmen, das schon etwas älter ist, von dem man weiß, dass es stabil ist. Denn die Meldung über die unstabilen files, die gehen ja sehr, sehr schnell über die Foren.
Kloiber: Kann man das denn einstellen, ob man jetzt wirklich die neueste Beschreibung von Viren nimmt, oder ob man da eine ältere nimmt, kann man das in den Virenscanner einstellen, wenn man einen kompletten Check über die ganze Festplatte machen will?
Schmitz: Zunächst kann man einstellen, was man abchecken will, ob man nur die hereinkommenden files abchecken will, die E-Mails und Internet. B) kann man das automatische Update abstellen, und wenn man das macht, dann läuft man eben Gefahr, dann darf man eben derzeit nichts herunterladen, da läuft man in Gefahr sich einen Virus einzufangen. Aber wenn das pattern file einen oder zwei Tage alt ist, da kann man auch über die ganze Platte scannen.