Signaturenerkennung oder Verhaltensanalyse – was ist besser?

Wenn man sich die Programmbeschreibung zu Emsisoft Anti-Malware näher anschaut, so fällt einem in der Regel der Punkt “Doppelter Echtzeitschutz” auf. Klingt gut, klingt sicher. Aber was genau es bedeutet, und welche Technologie dahinter steckt, bleibt dem nicht IT Experten unklar. Das ist Grund genug für uns, jegliche Marketingbegriffe beiseite zu legen und Licht ins Dunkel zu bringen.

Die ersten Computerviren wurden gegen Mitte der 80er Jahre in freier Wildbahn entdeckt. Richtig interessant wurde dieses Thema allerdings erst durch die zunehmende Anzahl von Computern in Privathaushalten zu Beginn der 90er. Besonders hervorzuheben ist hier ein Schädling namens “Michelangelo”, welcher 1992 durch viele Medienberichte berühmt und gefürchtet wurde.

Zu der Verbreitung der zunächst sogar noch eher harmlosen Viren war natürlich ein passendes Gegenmittel gefragt. Die Lösung bestand darin, eine infizierte Datei auf bestimmte signifikante Charakteristika hin zu untersuchen. Dabei handelt es sich um Muster und Regelmäßigkeiten, die nur für diesen einen Virus zutreffend sein sollen. Fasst man diese Informationen zusammen, erhält man die so genannte Signatur. Im übertragenen Sinne stellt sie den Fingerabdruck des Menschen dar. Ein Scanner durchleuchtet schließlich alle möglichen Dateien auf einem Computer und versucht, potentiell vorhandene Schädlinge anhand seiner Signaturen (Fingerabdrucks-Muster) zu erkennen.

Inzwischen gibt es aber nicht nur Viren, sondern auch noch Würmer, Trojaner, Spyware und allerlei weitere fiese Schädlinge, die allgemein unter dem Begriff Malware zusammengefasst werden. Für die Hersteller von passenden Festplatten-Scannern bedeutet das eine sehr anstrengende Arbeit: denn zu jedem neuen Schädling und sogar zu jeder Abwandlung eines bereits bekannten Schädlings muss eine neue Signatur erstellt werden. Bei schätzungsweise 3.000 neuen Schädlingen jeden Tag ist das eine durchaus zeitraubende Aufgabe.

Damit sind wir auch schon bei dem Problem der signaturbasierten Erkennung von Malware gelandet – ein speziell für einen bestimmten Angriff entworfener Schädling kann im Prinzip nicht erkannt werden. Denn erst durch eine bestimmte Verbreitung gelangen Hersteller von Sicherheitssoftware an das Exemplar und können so eine Signatur für ihren Scanner erstellen. Im Gegenzug ist die Erkennung dafür allerdings relativ sicher, gutartige Software wird in den seltensten Fällen als schädlich gemeldet.

Die meisten Schädlinge stammen heute aus dem osteuropäischen und asiatischen Raum und werden in der Regel für gezielte Angriffe auf einzelne Netzwerke erstellt, oder sogar online bei Mafia ähnlichen Organisationen in Auftrag gegeben. Antiviren Labore bekommen derartige Malware nie zu Gesicht und können dementsprechend keine Signaturen dafür bereitstellen.

Emsi Software hat bereits vor einigen Jahren vermutet, dass ein rein auf Signaturen basierender Schutz des häuslichen Computers früher oder später unzureichend sein wird. Entsprechend wurde mit Emsisoft Anti-Malware eine zweite Schutzfunktion integriert: Das Malware-IDS (IDS = Intrusion Detection System) ist in der Lage, schädliches Verhalten zu erkennen und zählt damit zur Kategorie der Behavior Blocker (Englisch “behavior” = Verhalten). Dazu werden alle im System aktiven Programme permanent überwacht. Sobald ein Programm ein potenziell schädliches Verhalten zeigt, wird es angehalten und gemeldet. So kann die weitere Ausführung eines auffälligen Programms auf Wunsch des Benutzers unterbunden werden – ganz ohne Signaturen.

Neben den Behavior Blockern ist derzeit eine Technologie in Mode, die auf den Namen HIPS (Host-based Intrusion Prevention System) hört. Jene Tools melden Manipulationszugriffe auf viele Systemschnittstellen wie Autostarts, Treiber, Dienste, das Netzwerk, etc., allerdings ohne genauen Aufschluss darüber zu geben, ob eine Aktion tatsächlich schädlich ist. Vorstellen kann man sich das wie eine Personal Firewall, bei der besonders anfangs viele (Fehl-)Alarme entstehen, bis man die Software richtig antrainiert hat. Ob einfach nur ein neuer Treiber installiert wird oder doch ein bösartiger Trojaner, muss jeweils der Anwender entscheiden. Im Gegensatz zu den HIPS Programmen meldet das Malware-IDS wirklich nur potentiell schädliche Software und minimiert Fehlalarme damit auf einen Bruchteil. Damit ist es speziell auch für unerfahrene Anwender geeignet, während Profis bei Emsisoft Anti-Malware die “Paranoid”-Option aktivieren und damit einen HIPS-ähnlichen Zustand erreichen können, sofern sie möchten.

Beide Ansätze, sowohl die signaturbasierten Scanner, als auch die verhaltensbasierte Malware-Abwehr, haben ihre Stärken und Schwächen. Emsisoft Anti-Malware kombiniert beide Technologien in einem Produkt und bietet somit einen extrem guten Schutz bei sehr einfacher Bedienung und fast gar keinen Fehlalarmen. Sollten Sie allerdings schon einen signaturbasierten Scanner besitzen und auf die Funktion eines Behavior Blockers nicht verzichten wollen, so möchten wir Ihnen das neue Mamutu 1.0 ans Herz legen. Mit Mamutu erhalten Sie eine eigenständige Version des Malware-IDS ohne einen eingebauten Scanner.

Details zu Mamutu: http://www.mamutu.de/