Anti-Viren vs. Anti-Malware Software

Die Begriffe Anti-Viren und Anti-Malware Software werden vielfach im gleichen Kontext genutzt. Doch tatsächlich gibt es Unterschiede. «Heuristik» basiert nicht auf bekannten Viren-Signaturen, sondern kann auch vor unbekannter Malware schützen. Anti-Malware Scanner schützen per Definition tatsächlich umfangreicher vor Schadcode wie Trojaner, Adware, Spyware, Ransomware und hochentwickelter Malware, haben aber auch Schwächen.

Im Bericht zur Lage der IT-Sicherheit 2020 hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) im Berichtszeitraum von Juni 2019 bis einschließlich Mai 2020 durchschnittlich 322.000 neue Schädlinge pro Tag ermittelt. In der Spitze wurden sogar 470.000 neue Malware-Varianten an einem Tag gezählt. Signaturbasierte Viren-Erkennung kann und wird dort an Grenzen stoßen. Schneller als einen neuen Virus zu entwickeln ist es, eine Variante davon abzuwandeln. Viren werden weltweit entwickelt und im Umlauf gebracht. Dementsprechend ist es für Anti-Viren Software Hersteller wichtig, in jeder Region vertreten zu sein oder zumindest «Honeypots» dort verfügbar zu haben, die neue Viren anziehen.

Anti-Viren Software

Anti-Viren Software basiert, wie oben erwähnt auf der Identifizierung von Viren-Signaturen. Doch was bedeutet der Begriff Signatur in Zusammenhang mit Viren-Abwehr? Wird eine Datei als bösartig erkannt, dann wird versucht einen Fingerabdruck davon zu erzeugen, d.h. besondere Merkmale dieser Datei zu isolieren und als eindeutiges Muster abzuspeichern. Zu den Merkmalen zählen u.a. Dateiname, charakteristische Zeichenfolgen oder Code. Werden diese Merkmale, z. B. in einer Sandbox-Umgebung (siehe auch «Warum Sandboxing nicht mehr ausreicht») erkannt, dann kann die Anti-Viren Software zukünftig Dateien oder Komponenten identifizieren und blockieren, oder besser noch entfernen. Wichtig für alle Lösungen dieser Art ist, dass das Scannen auf Viren in Echtzeit erfolgt und die Updates regelmäßig bzw. am besten mehrmals täglich automatisch erfolgen.

Man kann also sagen, dass Anti-Viren Software nur vor Viren, Würmern und Keyloggern schützt, die bereits bekannt und dementsprechend in Signatur-Datenbanken der Hersteller vorkommen!

Unbekannte Malware oder Zero-Day Schadcode, können durch Anti-Viren Software per Definition nicht erkannt werden. Aber der Name Anti-Viren Software muss mehr der Oberbegriff für die Erkennung von Schadcode aller Art gesehen werden und wird laut Google in Deutschland 11-mal häufiger gesucht als «Anti-Malware Software». Sicher auch ein Grund, warum dieser Begriff als Synonym für Software zum Schutz gegen Schadcode genutzt wird.

Welcher zusätzliche Schutz bietet Anti-Malware Software?

Aufgrund der oben beschriebenen Herausforderungen für die signaturbasierte Erkennung von Schadsoftware, sind weitere Methoden, wie das heuristische Scannen, Sandboxing oder Multiscanning notwendig geworden. Das aus dem griechischen stammende Wort Heuristik beschreibt die Kunst, mit unvollständigen Informationen eine wahrscheinliche Lösung in begrenzter Zeit zu erhalten. Für die Schadcode-Erkennung bedeutet das, dass Algorithmen nach Befehlsaufrufen und ausführbaren Programmcode suchen, die auf böswillige Absichten hinweisen. Ein integrierter Traffic- oder Link-Filter, unterbindet die Verbindung zu verdächtigen Servern, die zur Verbreitung der Schadsoftware oder dem Nachladen von Komponenten wie bei Emotet notwendig sind. Eine Signatur ist dafür nicht erforderlich, jedoch ergänzt ein signaturbasierter Scanner, einen heuristischen Scanner um möglichst hohe Erkennungsraten zu erreichen.

Anders als bei einer signaturbasierten Erkennung, sorgt die Heuristik in gewissem Umfang, auch für die Isolierung neuer Malware, die bis dato noch nicht bekannt war. Das ist ein entscheidender Unterschied zu Anti-Viren Software.

Dazu kommt, dass die Alternative zu Heuristik, die Sandbox deutlich langsamer arbeitet und bei großen Datenmengen zu deutlichen Verzögerungen führen kann. Zusätzlich wird eine Sandbox von Malware immer öfter ausgetrickst. Der Schlafmodus verhindert den Start der Infektion während der Zeitspanne, die typischerweise für den Verbleib in einer Sandbox notwendig ist. Hochentwickelte Malware kann eine Sandbox-Umgebung erkennen und ebenfalls die Ausführung verhindern (siehe auch unseren Blogbeitrag zum Sandboxing). Die Algorithmen zur Schadcode-Identifizierung werden vom Anbieter für Anti-Malware Software geheim gehalten und regelmäßig verbessert. Damit ist es Malware-Entwicklern nur schwer möglich, die Schadsoftware entsprechend zu verfeinern.

Aber die Anti-Malware Heuristik hat auch Nachteile: Werden böswillige Aktionen nicht erkannt oder, ist der Code verschlüsselt greift die heuristische Erkennung nicht.

Oder gleich Multiscanning?

Nachdem sich keine eindeutige Empfehlung für eine Anti-Viren-, Anti-Malware Software oder Sandbox-Lösung geben lässt, ist ein neuer Ansatz vielversprechend. Ant-Malware Multiscanner bündeln die Power von mehreren Anti-Viren/Anti-Malware Engines inkl. Sandboxes in einer Lösung. Der Scanvorgang verläuft parallel, d.h. Dateien werden gleichzeitig von mehreren Engines überprüft und nicht seriell nacheinander. Die Auswahl der Engines erfolgt im besten Fall international, d.h. es sind Scanner von allen Kontinenten vertreten. Das ist sinnvoll, denn Schadsoftware verbreitet sich unterschiedlich. Häufig ist eine regionale oder kontinentale Häufung festzustellen. Die Kombination von mehreren Scannern erhöht die Erkennungsraten von Schadsoftware enorm.

Umgekehrt ausgedrückt wird es noch klarer: Das Vertrauen in nur eine Anti-Malware Lösung ist ein Risiko!

Das zeigt auch die folgende Grafik:

Die Erkennungsrate steigt mit der Anzahl der eingesetzten Anti-Malware Engines. Die Daten stammen von der Online-Lösung MetaDefender Cloud. Anwender können dort Dateien hochladen und mit der maximalen Anzahl von Engines kostenlos überprüfen lassen. Bei einer Überprüfung mit 4 Anti-Malware Lösungen liegt die Erkennungsrate regelmäßig bei «nur» etwas mehr als 60 %. Bei der Überprüfung mit bis zu 20 Engines werden über 99 % erreicht. Die Auswertung erfolgt monatlich auf Basis der jeweils aktuellen Bedrohungen.

Sowohl heuristische als auch signaturbasierte Scanner inkl. Sandboxing haben jeweils einzigartige Stärken und Schwächen. Anti-Malware Lösungen wurden entwickelt um auch hochentwickelte, unbekannte Angriffsformen abzuwehren. Geänderte Situationen bedürfen einer angepassten Lösung. Die beste Option besteht darin, von Anfang an unterschiedliche Methoden gleichzeitig zu verwenden. Jedoch funktionieren mehrere parallele Anti-Malware-Lösungen, in einer Infrastruktur in der Praxis meistens nicht. Dadurch würde sich auch die Dauer für die Malware-Überprüfung vervielfachen.

Die Lösung dieses Problems ist ein Anti-Malware Multiscanner. Die Lösung von OPSWAT kombiniert mindestens 8 bis maximal 35 Engines auf API-Basis – d.h. die Verarbeitung der Scans erfolgt parallel  – in einer Lösung. OPSWAT sorgt für die Updates aller Engines – online und bei Bedarf z.B. in air-gapped Networks auch offline. Der Hersteller bezeichnet die Lösung als Core-Application. Der Multiscanner wird zentral on-premise oder in der Cloud installiert. Module und Funktionen, wie eine Datenschleuse (Schutz vor Malware, die über externe Speichergeräte in kritische Infrastrukturen eingeschleust werden), E-Mail Gateway Security, oder eine ICAP-Server Integration (Schutz des gesamten Netzwerkverkehrs inkl. Uploads/Downloads), greifen auf den Anti-Malware Multiscanner MetaDefender Core zu. Datei-Desinfektion (Data Sanitization) erhöht die Sicherheit nochmals, in dem Dateitypen, die Malware, Makros oder ausführbare Binärdaten enthalten können, desinfiziert werden, also in unkritische Dateiformate ohne Risiko umgewandelt werden.

Fazit:  Die Begriffe Anti-Viren bzw. Anti-Malware Software werden je nach Bedarf frei verwendet. Dabei gibt es jeweils genaue Definitionen dafür, die vielfach historisch begründet sind. Anti-Malware ist die Weiterentwicklung signaturbasierter Virenabwehr.

Genauso, wie jede Methodik Vor- bzw. Nachteile hat, so haben es auch die einzelnen Hersteller. Manche habe eine Sandbox integriert, die anderen nicht. Gerade bei neuen Malware-Varianten bzw. Zero-Day Malware versagen viele Hersteller. Dementsprechend liegt die Erkennungsrate, beim Einsatz von nur einem Scanner durchschnittlich unter 50%. Die Bündelung mehrerer Anti-Malware Engines in einer Lösung, das sogenannte Multiscanning erhöht logischerweise die Erkennungsrate – auf über 99%.

Autor: Robert Korherr, Geschäftsführer der ProSoft GmbH