Versagensängste Antivirus kann nicht alle Gefahren abwenden
Anbieter zum Thema
Virenscanner und Firewalls gehören zu den ältesten Security-Komponenten. Während die Firewall eine klare Aufgabe erfüllt, wird die Antivirus-Lösung oft als Multifunktions-Tool gesehen. Diese Annahme kann unter Umständen zu unangenehmen Überraschungen führen.

1. Widerwillige Anwender
Ein Virenscanner soll den Anwender bei seiner Arbeit vor Malware-Attacken schützen. In der Regel geschieht dies, indem der Zugriff auf gefährliche Objekt unmittelbar verwehrt wird. Alternativ kann auch eine Warnung ausgegeben werden, mit Optionen, was in der aktuellen Situation zu tun ist (Ignorieren; Zur Erlaubnisliste hinzufügen; Immer vertrauen etc.).
Manche Anwender empfinden dies mitunter als „Bevormundung“. Denn wenn der Virenscanner durch seine Schutzaufgabe die Aktivitäten des Users blockiert, sinkt die Produktivität – von seiner Warte aus allerdings nur aus „übertriebener Vorsicht“.
Manch ein Anwender reagiert darauf kontraproduktiv und bekämpft nun das Tool, welches ihn schützen soll. Dies geht über beabsichtige Missachtung von Empfehlungen (Diese Webseite nicht besuchen!) bis hin zur aktiven „Sabotage“, bei der Komponenten des Virenscanner gelöscht oder manipuliert werden.
Security-Software verfügt über eingebaute Selbstschutzmechanismen, um sich z.B. gegen Malware-Attacken (Deaktivieren Virenscanner) zu behaupten. Aber gegen einen User, der eventuell über erweiterte IT-Privilegien verfügt, ist selbst der beste Virenscanner wehrlos.
2. 100-prozentige Sicherheit gibt es nicht
Kein Antivirus-Produkt (AV-Produkt) kann vor sämtlichen Computervirus-Attacken schützen. Ein Virenscanner erkennt gut bereits entdeckte Schadsoftware, die anhand einer Beschreibung (Hash-Werte, Such-Pattern etc.) identifizieren werden können. Mit einer heuristischen Erkennung funktioniert dies auch bei Varianten von bekannten Viren, die noch nicht exakt per Suchmuster definiert wurden.
Völlig unbekannte Computerviren, die bisher noch nicht aufgefallen und analysiert wurden, werden hingegen nicht erkannt. Eine Abhilfe ist hier z.B. eine Sandbox-Überprüfung, in der eine verdächtige Komponente ausgeführt wird, um sie dann aktiv zu überwachen und analysieren. Ein solches Verfahren wird aber i.d.R. nicht bei einem Virenscanner für den Enduser angewendet, da es diesen zu sehr beeinträchtigen würde (Performanceverlust, Fehlerhafte Erkennung).
3. Überschriebene Objekte wiederherstellen
Die meisten AV-Tools am Markt verfügen über eine Clean-Funktionalität. Dabei wird ein infiziertes Objekt von der Virusinfektion bereinigt und in einem ursprünglichen Zustand wieder hergestellt. Diese Funktion ist sinnvoll, aber kein Allheilmittel.
Ein infiziertes Programm lässt sich z.B. nur dann wieder 1:1 rekonstruieren, wenn der Virus den Quellcode unangetastet lässt. Bei einem überschriebenen Programm ist eine Säuberung i.d.R. nicht möglich. Gleiches gilt auch für Malware, die andere Dateien überschreibt – also beispielsweise auch bei Erpresser-Software (Ransomware), die Dateien verschlüsselt.
Clean-Funktionen wirken im Übrigen nicht auf das Trägersystem, welches ggf. durch den Computervirus geschädigt wurde. Selbst wenn ein Virus entfernt wurde, bleiben seine Spuren oft bestehen (Hilfsdateien, Registry-Werte, etc.). Bei komplexen Infektionen ist meistens eine komplette Neuinstallation (ggf. Restore von einem Backup) zielführender als eine Säuberung.
(ID:43569588)