Wie viele Viren werden von Antivirenfirmen gemacht?

Ein Kommentar von Christian Mairoll, Geschäftsführer Emsisoft

Hintergrund


Als Geschäftsführer eines Antiviren-Unternehmens wird man immer wieder von Freunden und Bekannten gefragt “Wer macht eigentlich die vielen Viren?” und mit zum Teil durchaus ernst gemeinten Vorwürfen konfrontiert “Ihr macht die doch alle selbst, um das Geschäft anzukurbeln!”.

Wenn es nur so einfach wäre… Die Realität schaut jedoch etwas anders aus. Abgesehen davon, dass es moralisch fragwürdig und illegal wäre, läßt es sich ziemlich einfach belegen, dass es rechnerisch quasi unmöglich ist, dass Antivirenfirmen die Viren erstellen.

Kosten/Nutzen-Rechnung

Hinter heutigen Viren, Trojanern und Bots steckt ein enormer Arbeitsaufwand für die Programmierung. Zum Teil beabsichtigt und unbeabsichtigt veröffentlichte Quelltext-Pakete lassen den tatsächlichen ursprünglichen Aufwand zwar nur erahnen, aber man kann davon ausgehen, dass hinter einer gänzlich neuen Gattung einer Malware jeweils mindestens 1-3 Monate Programmierkunst stecken. Neue, weiterentwickelte Varianten sind hingegen sicherlich schneller gemacht.

Bei Emsisoft werden derzeit pro Tag etwa 30.000 – 50.000 Signaturen (Fingerabdrücke) für neue Malware in die Erkennungs-Datenbank eingepflegt (Stand Mitte 2013), d.h. rund eine halbe Million pro Monat. Die Geschichte zeigt, dass sich die Zahl der neu entdeckten Bedrohungen bisher jedes Jahr in etwa verdoppelt hat. So beträgt der aktuelle Signaturenstand bei Emsisoft Anti-Malware derzeit 13 Millionen. Darin enthalten sind auch viele Signaturen, die etliche Malware-Varianten mit generischen Methoden erkennen und somit die Gesamt-Signaturenzahl reduzieren.

Wäre ich nun Geschäftsführer einer bösen Antivirenfirma, bräuchte ich auf jeden Fall zuerst einmal einen neuen Mitarbeiter, um einen Virus erstmalig zu programmieren. Und natürlich auch jemanden für die laufende Weiterentwicklung und Pflege, schließlich soll der Virus ja auch auf künftigen Betriebssystemen lauffähig sein, um das Investment nicht zu gefährden. Ist der Virus dann endlich fertig programmiert, wird er veröffentlicht und zeitgleich in die eigene Erkennung der Antivirensoftware integriert.

Toll! Wir haben nun in einem Monat einen neuen Virus gebaut – einen
einzigen unter 500.000 anderen.

Spätestens hier sollte jedem klar sein, dass es aus betriebswirtschaftlicher Sicht absolut keinen Sinn machen würde, die Viren selbst zu schreiben. Der zu erwartende Vorteil bei der Erkennung von einer zusätzlichen Schadsoftware gegenüber der unglaublichen Masse, die von Anderen veröffentlicht wird, wäre viel zu gering. Selbst wenn die Kosten für Programmierer in Billiglohnländern sehr niedrig sind, so könnte es sich definitiv kein Antivirenhersteller leisten, so viele Leute zu beschäftigen – auch nicht alle Hersteller der Welt gemeinsam.

Wer baut die Malware dann?


Jene Leute, die mit der Malware – so fürchte ich – deutlich mehr Gewinne erwirtschaften als die Antiviren-Branche jemals zum Bau der Malware aufwenden könnte.

Waren es vor 10 Jahren noch Hacker, die in erster Linie das technisch Machbare ausloten wollten, so steckt heute eine Menge krimineller Energie und knallharter Geschäftssinn hinter den Bedrohungen. Mit einem zentral steuerbaren Netz von einigen tausend gekaperten PCs (Botnetz) lässt sich eine ganze Menge anstellen. So kann die gewonnene Rechenleistung zum Beispiel im Paket vermietet werden: zum Spam- und Phishing-Mail Versand, für koordinierte Überlastungs-Angriffe (DDoS) um Firmen zu erpressen oder als Proxyserver-Netz um Spuren illegaler Aktivitäten zu vernichten. Die größten Botnetze wie Conficker, Rustock oder Cutwail umfass(t)en jeweils mehr als eine Million solcher “Zombie”-Rechner.

Andere Malware-Autoren versuchen ihre Arbeit direkt in bare Münze zu verwandeln indem sie Lösegeld zum Entschlüsseln verschlüsselter persönlicher Dateien fordern (sog. Ransomware). Noch gezielter gehen Angreifer vor, die Malware nur für einzelne Attacken auf bestimmte Firmen oder Systeme erstellen – so geschehen u.a. bei den Sabotage-Angriffen auf das iranische Atomprogramm mit der Stuxnet Malware Ende 2010.

Antivirus = Virus

Eine andere Ursache für das Gerücht, dass Antivirenfirmen die Viren erstellen, ist womöglich auch die Tatsache, dass es immer mehr falsche Antivirenprodukte (sog. Rogue Antivirus) gibt. Die Autoren solcher Malware nutzen Namensähnlichkeiten zu bekannten Antiviren-Marken aus, um Anwendern Software unterzujubeln, die nur vorgibt, Viren zu erkennen. Mit falschen Funden drängen sie dabei die Nutzer zu einem Kauf einer “Vollversion”.

Fazit

Sie sehen, für Malware-Autoren gibt es jede Menge Anreize, neue Schadsoftware zu erstellen. Allesamt haben sie eines gemeinsam: Sie sind wesentlich interessanter als der Vorteil, den Antivirenfirmen durch selbständiges Erzeugen von Malware hätten. Unabhängig davon, dass Antiviren-Hersteller rechtlich und medial in Teufels Küche kommen würden, wenn auch nur ein einziger derartiger Fall publik werden würde.

Natürlich sei erwähnt, dass Antivirenfirmen in gewisser Weise auf die Arbeit der Malware-Autoren angewiesen sind. Aber wir sitzen definitiv am anderen Ende in Bezug auf unsere Absichten, und versuchen stetig unser Bestes, das Internet sicherer zu machen.

 

Eine Malware freie Zeit wünscht

Christian Mairoll – CEO

www.emsisoft.de

Auszug aus unserem Blog