Sind Antivirus-Lösungen durch Signatur- und Datei-Wildwuchs überholt?

Im Industrie-Durchschnitt überleben etliche Rechner die „erwartete Lebensdauer“ von 5 oder 6 Jahren – und damit erreichen diese Rechner geradezu biblisches Alter. Seinerzeit kamen gerade Pentium 4 der 600er Baureihe mit 3 – 3,8 GHz Taktrate frisch auf den Markt.

Ein großer Teil dieser Belastung ist natürlich auch der immer rasanter wachsenden Zahl der zu prüfenden Dateien geschuldet, die ein durchschnittlicher PC auf seiner Festplatte beherbergt. Nur zum Vergleich: 2005 waren 160 Gigayte-Festplatten aktuell, während moderne Systeme mit bis zu 3 Terabyte Platten ausgeliefert werden.

Die Sammelwut der Anwender – seien es alte E-Mail-Archive oder Bilder vom Sommerfest der Firma anno dazumal – trägt hierzu ebenso bei, wie ein nicht vorhandenes „Aktenmanagement“ : der Autor selbst hat noch alle Dokumente aus seiner Diplomarbeitsphase auf dem Arbeits-PC. Die hohe Anzahl an Dokumenten wird durch die ebenfalls stetig steigende Anzahl an Dateien des jeweiligen Betriebssystems erweitert – und alle Dateien eines Rechners werden gegen die steigende Anzahl Signaturen geprüft. Das Resultat kann jeder Leser beim „wöchentlichen System-Check“ selbst beobachten.

Einen interessanten Ansatz zeigt beispielsweise der Antivirus-Spezialist Symantec mit dem Insight-Tool: Symantec-Analysten haben festgestellt, dass die Verteilungskurven von „guten“ und infizierten Dateien jeweils nahezu exponentiell verlaufen, wenn man sich deren Häufigkeit gegen ihre Infektionsrate ansieht. Die Idee ist nun, die Charakteristika aller weltweit gefundenen Dateien in eine umfassende Datenbank zu schreiben.

Alle als „gutmütig“ bewerteten Dateien werden von Zeit- und Rechen-intensiven Vollprüfungen ausgeschlossen. Im Umkehrschluss hat das den Vorteil, dass auf Basis der einfach zu prüfenden Eigenschaften nur als suspekt eingestufte Dateien intensiv geprüft werden. Statistisch ungefährliche Dateien bleiben bei der Detailprüfung außen vor.

Insbesondere für den Einsatz in großen virtualisierten Serverfarmen kann dieser Ansatz massiv Rechner-Ressource sparen: die Server basieren meist alle auf dem exakt identischen „Golden Master“, gleichen also einander wie ein Ei dem anderen. Wenn eine Reihe dieser Klone nach Vollprüfung aller Dateien keine Probleme aufweisen, ist es laut Argumentation der Symantec-Forscher logisch nur jene Dateien intensiv zu prüfen, die Abweichungen von der Norm zeigen.

Bislang habe man auf den weltweit 175 Millionen geprüften Geräten über 2,5 Milliarden individuelle Dateien gefunden, analysiert und deren Charakteristika (nein, nicht die Dateien selbst!) in der Vergleichsdatenbank hinterlegt. Ziel dieser groß angelegten Aktion ist es, den Ressourcen-Verbrauch um bis zu 60 Prozent zu drücken – eine beeindruckende Zahl, wenn man die globalen Auswirkungen auf etliche Millionen Maschinen bezieht.

Ob sich der massive Ausschluss von Dateien bei der Prüfung wirklich ohne Einschränkungen bei der Sicherheit durchsetzen lässt, werden die abschließenden Tests und die ersten Wochen des Produktiv-Betriebs zeigen. Falls im Gegenzug die frei werdenden Ressourcen für bessere Heuristiken und Erkennung bisher unbekannter Varianten genutzt werden, sicher ein zu begrüßende Alternative.

Bis dahin ist es sicher ein guter Zeitvertreib, sich über die stark sinkende Zahl tatsächlich gefundener Infektionen jeder einzelnen bekannten Malware Gedanken zu machen. Der Trend zum „individuellen Trojaner“ wächst, wenn nur noch zwei bis sechs identische Varianten (etwa „Harakit“) auftreten – von den Bedrohungen für mobile Geräte ganz abgesehen!



KuppingerCole Select

Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.

Stay Connected

Subscribe to our Podcasts

KuppingerCole Podcasts - watch or listen anywhere


How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00