Virenschutz bleibt die Achillesferse

Signaturen kein Allheilmittel

Um auch unbekannte Schädlinge erkennen und abblocken zu können, setzen die Hersteller zudem auf heuristische Methoden. Wie Berater Silvan erklärt, "erlaubt dies in beschränktem Rahmen, schädlichen Code zu blocken, der in seinem Aussehen oder Verhalten bekannten Viren ähnelt". Allerdings sind die Möglichkeiten der Heuristik begrenzt, was auch die Hersteller einräumen. Raimund Genes, Chief Technologist für Anti-Malware bei Trend Micro, warnt vor dem Problem von Fehlalarmen: "Das Risiko, dass harmlose Dateien fälschlicherweise für Viren gehalten und gelöscht werden, ist ziemlich hoch." Das bestätigt Andreas Lamm, Geschäftsführer von Kaspersky Lab Deutschland, demzufolge die Fehlalarmquote umso höher steigt, je schärfer die Heuristik definiert ist.

Welche Folgen dies haben kann, erläutert der Manager am Beispiel eines deutschen Unternehmens, das Software für eingebettete Systeme entwickelt. In einigen Fällen mussten die Programmierer dort extrem ökonomisch vorgehen und mit wenig Speicherplatz auskommen. Daher ließen sie alle nicht wirklich wichtigen Informationen, beispielsweise die Versionsnummer oder den Namen des Entwicklers, einfach weg. Die Heuristik der Kaspersky-Lösung sah aber unter anderem das als ein Indiz für möglichen Schadcode und blockte die Software folglich ab. "Gott sei Dank wurde das schnell bemerkt. Das Problem ließ sich beheben, indem wir die Programme über eine White List als unbedenklich markierten", erinnert sich Lamm.

Welchen Schaden zu scharfe Heuristiken anrichten können, zeigte sich unlängst auch am Beispiel von McAfee: Nach einem Update stufte der Viren-Scanner des Anbieters bei manuellen Virenuntersuchungen plötzlich "Excel"-Dokumente als Schädlinge ein. Je nach Konfiguration wurden die Dateien gelöscht oder in Quarantäne verschoben.