Antivirenprogramme

Antivirenprogramme

Kaum einer anderen Software wird so eine große Bedeutung in Zusammenhang mit Sicherheit des eigenen PC beigemessen wie dem Antivirenprogramm. Dabei gilt es jedoch eines direkt vorweg zu nehmen.
Ein Antivirenprogramm ist keine Option auf absolute Sicherheit. Sie dürfen ihren PC niemals als vor Schadsoftware geschützt ansehen, nur weil Sie eine aktuelle Antivirensoftware installiert haben. Warum das so ist, erklären wir Ihnen im Folgenden.

Würmer und Viren können auf den unterschiedlichsten Wegen auf Ihren PC gelangen. Sei es durch einen infizierten EMailanhang, einen befallenen Datenträger oder einfach nur über ungeschützte Netzwerkverbindungen. Und wenn dies erst einmal geschehen ist, kann Ihnen ein Antivirenprogramm dazu dienen, den Schädling zu identifizieren. Vorausgesetzt, das Programm ist dazu in der Lage und kann den Schädling überhaupt erkennen.
Denn die Erkennungsleistung ausnahmslos jeden Antivirenprogramms liegt - auch entgegen der Behauptungen der Hersteller - stets unterhalb von 100%. Das bedeutet, dass ein solches Programm auch auf dem aktuellsten Stand nicht in der Lage ist, jeden Schädling zu finden bzw. zu erkennen.

Warum?

Zuverlässig erkennen kann ein Antivirenprogramm nur diejenigen Schädlinge, die es kennt. Dafür benötigt das Antivirenprogramm die entsprechenden Erkennungsmuster. Man spricht hierbei auch von Signaturen, kleinen Abschnitten aus dem Code eines untersuchten Schädlings, die jeweils für diesen charakteristisch sind.

Schädlinge, für die das Antivirenprogramm keine solchen Signaturen besitzt, kann es auch nicht zuverlässig erkennen. Es gibt zwar die Technik der Heuristik, mit der ein Antivirenprogramm aufgrund der vorhandenen Informationen zu erraten versucht, ob eine vorliegende Datei nun ein Schädling ist oder nicht. Allerdings liegt auch hier die Trefferquote entsprechend niedrig.

Hinzu kommt, dass bereits kleine Veränderungen in der Struktur eines Schadprogrammes ausreichen können, um es dem Zugriff eines Antivirenprogramm zu entziehen, es für das Programm unentdeckbar werden zu lassen. Und bei durchschnittlich 250 Varianten von Schadsoftware, die täglich zu den bereits bekannten hinzukommen, ist die Wahrscheinlichkeit enorm groß, dass nicht alle Schädlinge zuverlässig erkannt werden. Die Hersteller der Antivirenprogramme aktualisieren die Signaturdatenbanken ihrer Produkte zwar laufend, doch die Aktualisierungen müssen natürlich auch auf den Computer des Anwenders, indem das Antivirenprogramm aktualisiert wird. Vom Entdecken eines neuen Schädlings bishin zur auslieferbaren Signatur dauert es bei manchen Herstellern Tage.

Auf der anderen Seite können übereifrige Antivirenprogramme einen Virus finden, obwohl gar kein Virus vorhanden ist. Diese Fehlalarme nennt man auch "false positives". Leider ist es so, dass man diese Fehlalarme nicht umgehen kann. Wenn Sie auftreten, liegt dies an der "Bauweise" des eingesetzten Antivirenprogramms und an der Vorgehensweise, wie dieses Programm auf die Virensuche geht.
So trat seinerzeit der Fall auf, dass das Antivirenprogramm Etrust von Computer Associates irrtümlich die Systemdatei "LSASS.exe" des Betriebssystems "Windows Server 2003" als Virus identifizierte und kurzerhand löschte. Die Folge war ein unbrauchbares Betriebssystem.

Außerdem ist die entdeckte Schadsoftware oftmals nicht das alleinige Problem. Führen Sie sich bitte vor Augen, dass heute jedes einigermaßen leistungsfähige Schadprogramm sogenannte Hintertüren (engl. Backdoors) in Ihr System einbauen oder Daten verändern kann. Über Hintertüren können Angreifer Zugriff auf Ihren Computer erhalten und beliebige Aktionen ausführen. Darunter fällt auch das Kopieren von Dateien von und auf den PC.
Dies führt dazu, dass moderne Schadprogramme fast immer eine Funktion zum Nachladen von weiterem Programmcode besitzen. Diese Funktion liefert nicht nur weiteren potentiell nicht entdeckbaren Schadcode auf Ihren Computer, sondern auch einen guten Grund, um nach einer Infektion den Computer vollständig neu aufzusetzen.

Fast alle Antivirenprogramme bieten auch einen Programmteil an, der ständig im Hintergrund läuft und beispielsweise Dateien beim Öffnen oder Schreiben nach einem Schädling durchsucht. Manche Hersteller nennen dieses Programm "Wächter", manche nennen es "Guard".
Das Problem bei diesen Programmen ist, dass sie genau dann nicht mehr zuverlässig arbeiten, wenn sich bereits ein Schädling auf dem Computer eingenistet hat. Zwar ist das Antivirenprogramm im Vorteil, aber nur dann, wenn der betreffende Benutzer wirklich nur als Benutzer und nicht als Administrator angemeldet ist, also eingeschränkte Rechte besitzt. Hat der Benutzer administrative Rechte, dürfte der Schädling klar im Vorteil sein, da er dann ebenfalls diese Rechte besitzt. Denn im einfachsten Falle erlangt ein Programm (also auch ein Schadprogramm) mit seinem Start genau die Rechte, die der Benutzer besitzt, der das Programm startet. Und somit hat die Schadsoftware auch das Recht, die laufende Antivirensoftware einfach zu beenden.

Je schneller eine Infektion des Computers entdeckt wird, desto geringer ist auch die Wahrscheinlichkeit, dass Fremde sich Zugang zum Computer verschafft haben. Um jedoch jedes Risiko auszuschließen, kommen Sie im Falle einer Infektion um die endgültige Maßnahme nicht herum : sie müssen das System komplett neu installieren.

Nun werden Sie vielleicht sagen "Aber mein XYZ-Programm hat doch das Virus erfolgreich gelöscht! Ist das denn wirklich nötig?".
Darauf kann es nur die eine Antwort geben : ist es!

Moderne Schadprogramme haben die unangenehme Eigenschaft, Dateien auf Ihrem Computer verändern zu können. Und ist ein Schädling erst einmal auf Ihrem PC gelandet, können Sie nicht sicher sein, welche Daten sich noch im Originalzustand befinden und welche nicht. Sie können Ihrem eigenen Datenbestand nicht mehr trauen. Ihr Computer ist nicht mehr vertrauenswürdig. Und aus diesem Grunde ist das Ergebnis eines Virenscanns im Infektionsfalle wert- und bedeutungslos.

Im Folgenden finden Sie noch einige Tipps zum Umgang mit Antivirenprogrammen.

Verstehen Sie das Ergebnis einer Virenprüfung

Wenn Sie ein Antivirenprogramm starten und damit die Festplatte bzw. Festplatten Ihres PCs untersuchen, können Sie zwei Ergebnisse erwarten : entweder es wird etwas gefunden oder es wird nichts gefunden.

Im ersteren Falle bedeutet diese Aussage nicht : "Ich habe einen Virus".
Dieses Ergebnis bedeutet : "Es ist sehr wahrscheinlich, dass ich einen Virus habe".

In letzterem Falle bedeutet das Ergebnis nicht : "Ich habe keinen Virus".
Es bedeutet vielmehr : "Ich weiß nicht, ob ich einen Virus habe".

Es kann vorkommen, dass Sie Ihren Computer untersuchen lassen und keinerlei Funde gemeldet werden. Wenige Tage später, nach einer Aktualisierung des Antivirenprogramms, erscheint dann plötzlich doch eine Meldung. Die Schadsoftware war über den gesamten Zeitraum vorhanden, nur konnte die Antivirensoftware diesen nicht bemerken, weil die Signaturen fehlten.

Aktualisieren Sie regelmäßig

Die meisten Antivirenprogramme bringen eigene Aktualisierungsfunktionen mit. Das bedeutet, dass bei einer bestehenden Internetverbindung automatisch auf eine Aktualisierung der Software geprüft wird. Gibt es etwas Neues, wird es heruntergeladen und installiert.

Aktualisierungen sind - wenn Sie so wollen - überlebenswichtig für Ihr Programm. Denn schon bei der Installation eines Antivirenprogramms ist dieses bereits veraltet, da es täglich neue Bedrohungen gibt, ob es sich dabei nun um gänzlich neue Schadprogramme handelt oder um Varianten bereits existierender.
Deshalb sollte es eigentlich selbstverständlich sein, bei den Programmen, die eine solche Funktion anbieten, die automatische Aktualisierung zu aktivieren. Kann Ihr Programm das nicht, müssen Sie selbst dafür sorgen. Tun Sie dies am besten täglich.

Offline Virescan

Im Idealfall führt man einen Virenscan nicht mit dem System durch, welches untersucht werden soll. Der Einsatz eines Antivirenprogramms ist nur dann wirklich sinnvoll und hinreichend effektiv, wenn es nicht unter dem Betriebssystem gestartet wird, auf dem eine Infektion vermutet wird, da im Falle einer Infektion niemand garantieren kann, dass nicht auch Bestandteile des Antivirenprogramms selbst verändert wurden.

Es gibt die Möglichkeit, ein System zu prüfen, ohne es selbst zu starten. Dafür wird lediglich eine CD benötigt, die mit einem absolut aktuellen Virenscanner ausgestattet ist. Ebenso ist auf dieser CD dann ein Betriebssystem enthalten, welches dann von dieser CD startet, wenn der Computer eingeschaltet wird.
Zwei dieser Systeme sind "Knoppicilin" und "Kaspersky Rescue Disk", die beide kostenfrei über das Internet erhältlich sind.

Eine weitere - wenn auch nicht optimale - Möglichkeit ist, den Computer im sogenannten abgesicherten Modus zu untersuchen. Dazu starten Sie den Computer neu und drücken während des Starts solange die Taste "F8", bis Sie ein Menü angezeigt bekommen. Dort wählen Sie den Eintrag "Abgesichert mit Netzwerkunterstützung".
Der abgesicherte Modus sorgt dafür, dass nur die notwendigsten Dienste und Komponenten des Systems geladen werden. In den meisten Fällen werden so vorhandene Schadprogramme nicht gestartet und können den Virenscanner auch nicht beeinflussen.