Bedrohung

Virenschutz

AV-Scanner: Kein Schutz gegen Viren?

Von Norbert Luckhardt, Hannover

"Warum Sie aufhören sollten, Scanner zu benutzen" betitelte Virenspezialist Nick FitzGerald auf der diesjährigen Virus Bulletin Conference sein Plädoyer für eine neue Abwehrstrategie gegen Computerviren: "Die Scanner-Technologie erfüllt die Anforderungen sicherheitsbewusster Systemadministratoren nicht länger in angemessener Art und Weise." Statt dessen empfiehlt FitzGerald ein toolgestütztes Integrity Management. KES stellt diese These zur Diskussion.

Das Spielfeld für Viren hat sich in den letzten Jahren deutlich verändert – die Strategie zu ihrer Abwehr kaum. Nach wie vor sollen vor allem Scanner vor bösartiger Software schützen, sei es auf dem einzelnen PC oder an zentralen Punkten wie dem Mail- oder Firewall-System. Früher waren – wirklich bedrohliche – Viren selten und haben sich nur langsam über Diskettentausch und Mailboxsysteme ausbreiten können. Die heutige hochgradig vernetzte PC-Welt mit einer vorherrschenden Microsoft-Monokultur ermöglicht jedoch E-Mail-Würmern und Makroviren rasend schnelle globale Verbreitung binnen weniger Tage oder gar Stunden. Diese Geschwindigkeit erlaubt minimale "Inkubationszeiten": Früher mussten Viren einige Zeit warten, bevor sie ihre Schadroutinen auslösen konnten – ansonsten hätten sie keine Chance auf eine unerkannte Verbreitung gehabt. In dieser Zeitspanne konnten die Anti-Viren-(AV-)Software-Hersteller in aller Regel ein Sample erwischen und analysieren, eine Erkennungs-Signatur erstellen und verbreiten. Danach blieb normalerweise noch genug Zeit für den Anwender, um eine Infektion zu erkennen und zu stoppen, bevor es zu spät war. Aktuelle Malware der dritten Generation, die sich über Mail oder per Netzwerk ausbreitet, schlägt bisweilen sofort zu: AV-Industrie und Anwendern bleibt heutzutage oft keine nennenswerte Reaktionszeit mehr. Um die Risiken zu minimieren, ist daher beim Scanner-Einsatz ein gehöriger Aufwand nötig geworden:

Häufigere Fehlalarme durch kürzere Testzyklen bei der Update- Erstellung sowie Reparaturarbeiten nach "durchgerutschten" Viren dürften ebenfalls beträchtliche Kosten verursachen. Dass tatsächlich Viren und Würmer an Scannern vorbei unerkannt in die Unternehmen gelangen, legte ein Vortrag der Firma MessageLabs nahe, die Scanner-Systeme innerhalb der Mail-Infrastruktur von Internet Service Providern betreibt: Eine unter 1500 E-Mails transportiert ihren Statistiken zufolge eine bösartige Software. Beim Einsatz eines einzigen Virenscanners haben MessageLabs in der Praxis durchschnittlich 3% Fehlerquote beobachtet. Daher prüft das Unternehmen mittlerweile jede Nachricht mit drei AV-Scannern nacheinander. Einen Eindruck der Zahl riskanter E-Mails, die einzelne Scanner ohne Beanstandung hätten passieren lassen, gibt die untenstehende Abbildung. Aus der Beobachtung von Mail-Attachments über einzelne Monate und in einem bestimmten Netzwerksegment kann man zwar keine generelle Qualitätsaussage zu den einzelnen Produkten ableiten. Aber ein solcher "Schnappschuss" belegt doch, dass Scanner in einem der wichtigsten Infektionswege praxisrelevante Sicherheitslücken offen lassen. <& "scanner-nl-1.tif">

Im Juli/August 2000 übersahen die Scanner von NAI 443/46, Sophos	750/139, Trend 852/216, F-Secure 630/592 und Cybersoft 1738/1781 Malwares in E-Mails bei MessageLabs.
Statistik der durch einzelne Anti-Viren-Scanner nicht erkannten Virenvorfälle (Zahl verseuchter E-Mails, Dateien usw.) im externer Link MessageLabs-System.

Statt mit hohem Aufwand und fraglichem Ergebnis nach mittlerweile rund 50.000 Viren, Würmern und Trojanern zu scannen, empfiehlt der neuseeländische Consultant Nick FitzGerald auf PCs und Workstations nur noch Code ausführen zu lassen, der bekanntermaßen nicht bösartig ist. Ähnlich einem Virenwächter, der Programme zur Laufzeit nach bekannter Malware untersucht, könnte ein Integrity Management Tool prüfen, ob ein gestartetes (genauer: "zum Start angefordertes") Programm auf dem betreffenden Computer explizit erlaubt wurde. Updates sind hierbei nur selten notwendig und das Freigabeverfahren könnte man – entsprechend einer firmenweiten Sicherheits-Policy – hierarchisch implementieren. Egal ob Viren, Trojaner, Moorhuhnjagden oder MP3-Player: Ob unerwünschter Code den Computer erreicht, ist unwesentlich, wenn der Benutzer ihn nicht starten kann. Der größte Haken: Leider gibt es bislang kein solches Integrity Management Tool. Solange sich alle Welt auf Scanner verlässt und niemand danach fragt, wird sich das allerdings auch kaum ändern.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 5/2000, Seite 34