Thema der Woche

20. November 2000

Nicht-erkennbares Computervirus

Was nach einem Erfahrungswert der realen Welt klingt, lässt sich sogar mathematisch beweisen: 100%ig sichere Virenerkennung ist unmöglich. Das unlängst auf der externer Link Virus Bulletin Conference vorgestellte Ergebnis der IBM-Virenspezialisten David M. Chess und Steve R. White klingt auf den ersten Blick sogar noch übler: Es gibt Computer-Viren, für die man keine fehlerfreie Erkennungsroutine programmieren kann, selbst wenn man den Virencode zur Verfügung hat; jede mögliche Erkennungsroutine würde auch zumindest einige nicht-infizierte Programme als infiziert melden (False Positive). Ein solches Virus ließe sich nach Aussage von Chess in 100 Zeilen Pearl tatsächlich programmieren - es würde sich auch verbreiten können, allerdings meistens nur Müll produzieren.

Zum Glück sind die praktischen Implikationen des neuen Papers gering - darauf weisen Chess und White selbst ausdrücklich hin: "Niemanden stört es, wenn Virensuch-Algorithmen Fehlalarme für eine enorme Menge nicht-infizierter Objekte produzieren, die niemals auf dem Computer eines tatsächlichen Anwenders existiert haben und niemals dort existieren werden." Die Theorie berücksichtigt aber alle möglichen Programme. Die wichtigste praktische Erkenntnis ist wohl diejenige, dass wir bei der Virenerkennung immer mit einem gewissen Maß an Fehlalarmen leben müssen.

Darüber hinaus gab es aber auf der Konferenz auch einige Denkanstöße aus der Praxis, die hinterfragten, ob Virenscanner in der heutigen Situation tatsächlich einen ausreichenden Schutz vor Viren bieten können. Nick FitzGerald fragte zu Beginn seines Vortrags "Warum Sie aufhören sollten, Scanner zu benutzen" das anwesende Fachpublikum, wer Virenscanner als Teil seines Schutzkonzeptes nutze, was fast alle bejahten. Auf die Frage, wer denn glaube, dass Scanner einen ausreichenden Schutz böten, gab es jedoch nur vereinzelte Meldungen. Diese Kluft deckt sich leider mit den Erkenntnissen aus der KES/Utimaco-Sicherheitsstudie: Obwohl 97 Prozent der Befragten Vorsorge gegen das Eindringen von Viren getroffen haben, hatten 81 Prozent dennoch Virenvorfälle zu melden.

Näheres zu FitzGeralds Vortrag finden Sie im KES-Artikel AV-Scanner: Kein Schutz gegen Viren?