Frage der Woche: Wie funktionieren Antivirenprogramme?

Frage: Klar weiß ich, dass Antivirenprogramme sehr wichtig sind und zur Pflichtausstattung eines jeden Computers gehören. Was ich aber nicht weiß: Wie funktionieren sie eigentlich?

Antwort: Ja, Antivirenprogramme sind wichtig. Denn rund 800 Millionen Schädlinge bedrohen derzeit die Sicherheit von Computern und Smartphones – und jede einzelne Sekunde kommen Hunderte neue hinzu. In den 80er hätte mit Sicherheit niemand erwartet, dass sich PC-Viren zu einem so großen Problem entwickeln könnten: Damals bastelten allenfalls Wissenschaftler an theoretischen Virenmodellen, die nie über ein Leben auf Labor-Computern hinauskamen. Im Frühjahr 1986 war dann auf einmal alles anders: Da wunderten sich Tausende PC-Nutzer über stockende Disketten-Laufwerke – das erste Virus „©Brain“ hatte sich in der freien Wildbahn verbreitet.

Viren: Aus Spaß wird Ernst

Viren unbemerkt auf PCs zu schleusen – das war von jeher das Ziel der Schädlings-Programmierer. Geändert hat sich aber, was danach passiert. Anfangs ging’s noch um Ruhm und Schabernack. Wer sich 1991 beispielsweise den „Casino“-Virus einfing, musste mit dem Schadprogramm „Jackpot“ um den Inhalt seiner Festplatte spielen. Doch mit zunehmender Internet-Nutzung waren die spaßigen Zeiten vorbei. Viren konnten sich immer schneller verbreiten und enorme Problem verursachen. Dabei handelt es sich im Prinzip nur um Miniprogramme mit der Fähigkeit, sich selbst zu vermehren und sich auf diese Weise schnell zu verbreiten. Früher fanden sie meist über verseuchte Disketten den Weg auf PCs, heutzutage ist das Internet der häufigste Übertragungsweg. Einmal eingenistet, machen sie sich auf der Festplatte oder im Arbeitsspeicher breit, manipulieren das Betriebssystem, verschlüsseln Daten, schnüffeln Passwörter aus oder ermöglichen den Fernzugriff übers Internet.

So schützen Antivirenprogramme

Ihr Herzstück ist die Virenerkennung. Die hat sich in den letzten Jahren immer mehr verbessert. Früher suchten die Programme fast nur Schädlinge, die es bereits auf die Festplatte geschafft hatten. Aktuelle Schutzpakete nutzen dagegen mehrere Techniken.

  • Virensignaturen: Anhand dieses Fingerabdrucks eines Schädlings kann das Schutzprogramm den Angreifer erkennen und ausschalten. Die Hersteller von Schutzprogrammen entwickeln ständig neue Signaturen und übertragen diese Steckbriefe per Update an die PCs ihrer Kunden. Um aber noch schneller auf neue Bedrohungen reagieren zu können, klügelten die Virenschützer weitere neue Techniken aus.
  • Heuristik: Mithilfe von Heuristik versuchten Schutzprogramme zu erahnen, ob es sich bei einer verdächtigen Datei um einen neuen Schädling oder eine Variation altbekannter Schadprogramme handelt. Bei Ähnlichkeiten mit bekannten Bedrohungen schlägt die Software Alarm.
  • Verhaltensbasierte Schädlingserkennung: Die verhaltensbasierte Schädlingserkennung beschränkt sich nicht auf äußere Ähnlichkeiten. Vielmehr prüft sie bei Starten oder Öffnen einer Datei genau, was passiert. Dieser Schutz greift also dann, wenn eine Datei verdächtige Aktionen ausführen will, um zum Beispiel System-Dateien zu manipulieren.
  • Cloud-Erkennung: Beim in-the-Cloud-Virenschutz findet der Informationsaustausch zwischen Hersteller und Kunden-Gerät nicht in Form von Updates in bestimmten Zeitintervallen statt, sondern in Echtzeit. Sprich: Hier sind allen eingeschalteten Computer mit dem Server des Virenschutz-Anbieters verbunden und bilden so eine Cloud. Die Idee: Die Computer erhalten nicht nur sofort die neusten Virensignaturen, sondern tragen auch selbst zur Sicherheit bei. Sobald sich ein unbekannter, verdächtiger Programmcode auf einem System einnisten will, schickt das Schutzprogramm Informationen über den potenziellen Schädling an den Hersteller-Server. Der nimmt den Verdachtsfall dann genauer unter die Lupe. Je mehr Computer mitmachen, umso besser funktioniert der Cloud-Schutz. Denn melden mehrere PCs denselben Verdachtsfall, kann der Hersteller daraus schließen, dass sich eine neue Bedrohung zusammenbraut und schnell die passende Virensignatur entwickeln.

Antivirenprogramme: Einfache Bedienung ist wichtig

In der Regel halten sich gute Sicherheitspakete während ihrer Arbeit dezent im Hintergrund. Nur hin und wieder muss der Nutzer zur Tat schreiten, wenn ein Schädling entdeckt wird. Manchmal wird aber eine Attacke gemeldet, obwohl gar keine stattgefunden hat. In diesem Fall ist die Rede von einem Fehlalarm oder einem „False positive“.

Antivirenprogramme: Katz und Maus-Spiel

Im immer hektischeren Katz-und-Maus-Spiel müssen die Schutzprogramm-Anbieter wie Avira permanent am Ball bleiben. Neuentwickelte Schädlinge gilt es möglichst vor einer massenhaften Verbreitung aufzuspüren und schon im Vorfeld abzufangen. Ohne Antivirenprogramm wären Computer den zigtausenden Bedrohungen aus dem Internet nahezu schutzlos ausgeliefert. Wer sich ohne gute Schutzlösung ins Internet begibt, handelt grob fahrlässig.