Signaturenerkennung oder Verhaltensanalyse – was ist besser?

Wenn man sich die Programmbeschreibung zu Emsisoft Anti-Malware näher anschaut, so fällt einem in der Regel der Punkt “Doppelter Echtzeitschutz” auf. Klingt gut, klingt sicher. Aber was genau es bedeutet, und welche Technologie dahinter steckt, bleibt dem nicht IT Experten unklar. Das ist Grund genug für uns, jegliche Marketingbegriffe beiseite zu legen und Licht ins Dunkel zu bringen.

Die ersten Computerviren wurden gegen Mitte der 80er Jahre in freier Wildbahn entdeckt. Richtig interessant wurde dieses Thema allerdings erst durch die zunehmende Anzahl von Computern in Privathaushalten zu Beginn der 90er. Besonders hervorzuheben ist hier ein Schädling namens “Michelangelo”, welcher 1992 durch viele Medienberichte berühmt und gefürchtet wurde.

Zu der Verbreitung der zunächst sogar noch eher harmlosen Viren war natürlich ein passendes Gegenmittel gefragt. Die Lösung bestand darin, eine infizierte Datei auf bestimmte signifikante Charakteristika hin zu untersuchen. Dabei handelt es sich um Muster und Regelmäßigkeiten, die nur für diesen einen Virus zutreffend sein sollen. Fasst man diese Informationen zusammen, erhält man die so genannte Signatur. Im übertragenen Sinne stellt sie den Fingerabdruck des Menschen dar. Ein Scanner durchleuchtet schließlich alle möglichen Dateien auf einem Computer und versucht, potentiell vorhandene Schädlinge anhand seiner Signaturen (Fingerabdrucks-Muster) zu erkennen.

Inzwischen gibt es aber nicht nur Viren, sondern auch noch Würmer, Trojaner, Spyware und allerlei weitere fiese Schädlinge, die allgemein unter dem Begriff Malware zusammengefasst werden. Für die Hersteller von passenden Festplatten-Scannern bedeutet das eine sehr anstrengende Arbeit: denn zu jedem neuen Schädling und sogar zu jeder Abwandlung eines bereits bekannten Schädlings muss eine neue Signatur erstellt werden. Bei schätzungsweise 3.000 neuen Schädlingen jeden Tag ist das eine durchaus zeitraubende Aufgabe.

Damit sind wir auch schon bei dem Problem der signaturbasierten Erkennung von Malware gelandet – ein speziell für einen bestimmten Angriff entworfener Schädling kann im Prinzip nicht erkannt werden. Denn erst durch eine bestimmte Verbreitung gelangen Hersteller von Sicherheitssoftware an das Exemplar und können so eine Signatur für ihren Scanner erstellen. Im Gegenzug ist die Erkennung dafür allerdings relativ sicher, gutartige Software wird in den seltensten Fällen als schädlich gemeldet.

Die meisten Schädlinge stammen heute aus dem osteuropäischen und asiatischen Raum und werden in der Regel für gezielte Angriffe auf einzelne Netzwerke erstellt, oder sogar online bei Mafia ähnlichen Organisationen in Auftrag gegeben. Antiviren Labore bekommen derartige Malware nie zu Gesicht und können dementsprechend keine Signaturen dafür bereitstellen.

Emsi Software hat bereits vor einigen Jahren vermutet, dass ein rein auf Signaturen basierender Schutz des häuslichen Computers früher oder später unzureichend sein wird. Entsprechend wurde mit Emsisoft Anti-Malware eine zweite Schutzfunktion integriert: Das Malware-IDS (IDS = Intrusion Detection System) ist in der Lage, schädliches Verhalten zu erkennen und zählt damit zur Kategorie der Behavior Blocker (Englisch “behavior” = Verhalten). Dazu werden alle im System aktiven Programme permanent überwacht. Sobald ein Programm ein potenziell schädliches Verhalten zeigt, wird es angehalten und gemeldet. So kann die weitere Ausführung eines auffälligen Programms auf Wunsch des Benutzers unterbunden werden – ganz ohne Signaturen.

Neben den Behavior Blockern ist derzeit eine Technologie in Mode, die auf den Namen HIPS (Host-based Intrusion Prevention System) hört. Jene Tools melden Manipulationszugriffe auf viele Systemschnittstellen wie Autostarts, Treiber, Dienste, das Netzwerk, etc., allerdings ohne genauen Aufschluss darüber zu geben, ob eine Aktion tatsächlich schädlich ist. Vorstellen kann man sich das wie eine Personal Firewall, bei der besonders anfangs viele (Fehl-)Alarme entstehen, bis man die Software richtig antrainiert hat. Ob einfach nur ein neuer Treiber installiert wird oder doch ein bösartiger Trojaner, muss jeweils der Anwender entscheiden. Im Gegensatz zu den HIPS Programmen meldet das Malware-IDS wirklich nur potentiell schädliche Software und minimiert Fehlalarme damit auf einen Bruchteil. Damit ist es speziell auch für unerfahrene Anwender geeignet, während Profis bei Emsisoft Anti-Malware die “Paranoid”-Option aktivieren und damit einen HIPS-ähnlichen Zustand erreichen können, sofern sie möchten.

Beide Ansätze, sowohl die signaturbasierten Scanner, als auch die verhaltensbasierte Malware-Abwehr, haben ihre Stärken und Schwächen. Emsisoft Anti-Malware kombiniert beide Technologien in einem Produkt und bietet somit einen extrem guten Schutz bei sehr einfacher Bedienung und fast gar keinen Fehlalarmen. Sollten Sie allerdings schon einen signaturbasierten Scanner besitzen und auf die Funktion eines Behavior Blockers nicht verzichten wollen, so möchten wir Ihnen das neue Mamutu 1.0 ans Herz legen. Mit Mamutu erhalten Sie eine eigenständige Version des Malware-IDS ohne einen eingebauten Scanner.

Details zu Mamutu: http://www.mamutu.de/

35 thoughts on “Signaturenerkennung oder Verhaltensanalyse – was ist besser?

  1. Pingback: BsVdFdynHV BsVdFdynHV

  2. Pingback: harper99 caro

  3. Pingback: ipad gift accessories

  4. Pingback: Dating Tester

  5. Pingback: vmofAeR1HT vmofAeR1HT

  6. Pingback: Trackback

  7. Pingback: Trackback

  8. Pingback: Trackback

  9. Pingback: free web directory

  10. Pingback: Homepage

  11. Pingback: URL

  12. Pingback: vps hosting

  13. Pingback: sesje noworodkowe

  14. Pingback: szklo w kuchni

  15. Pingback: tabletki odchudzanie

  16. Pingback: prostate power

  17. Pingback: industrial internet marketing

  18. Pingback: Reiki Training

  19. Pingback: Films Complet Streaming

  20. Pingback: recette pate a crepe

  21. Pingback: Sussex Virginia Reckless Driving Attorney

  22. Pingback: free java script

  23. Pingback: qwxgvnmkfbrvecganfhv

  24. Pingback: how to become an emt

  25. Pingback: ipad accessories covers

  26. Pingback: seo ranking software

  27. Pingback: srodki na lysienie

  28. Pingback: redmarkerpl

  29. Pingback: 17 inch laptop

  30. Pingback: online advertising agency

  31. Pingback: domowe

  32. Pingback: seo optimization services

  33. Pingback: ipad pillow case

  34. Pingback: Outsourcing IT z Poznania

  35. Pingback: serwis HP

Kommentar verfassen