Malware-Erkennung Antivirus-Software im Sommerloch

Monster, die heimische Baggerseen unsicher machen, in einsamen Gebirgstälern der Bevölkerung nach dem Leben trachten oder in Kornfeldern Spuren hinterlassen. Im Sommer scheint alles möglich. Aber auch in der IT Sicherheit gibt es die typischen „Sommerloch-Monster“.

Das klassische Sommerloch-Monster, dass wohl jedem bekannt ist, dreht seine Runden in einem Süßwassersee im schottischen Hochland. Das Security-Gegenstück dazu ist die überspitzte und vereinfachte Aussage „Antivirensoftware ist tot!“

Wenn das Sommerloch kommt, wird gern über Super-Hackern berichtet, die umfangreiche BOT-Netze kontrollieren und fast nicht zu fassen sind (aber letztendlich doch erwischt werden). Ebenso beliebt sind neu entdeckte Schwachstellen, die in „jeder“ Software zu finden sind und die IT-Nutzung wie wir sie heute kennen, in ihrer Grundnutzung erschüttern.

Aber auch über neue Technologien wird berichtet, die endlich die Sicherheit beim Online-Shoppen versprechen, auf die man schon lange wartet oder Computerviren zu 100% erkennen (100% ist eine Vokabel, die man in der IT Security nur sehr sparsam nutzen sollte!).

Meistens haben diese Schlagzeilen eine realistische Basis, die aber in der Öffentlichkeit oft sehr unterschiedlich wahrgenommen wird. Ein Beispiel aus dem Jahr 2014 ist die Aussage der Firma „Security Research Labs“ bezüglich der Problematik von virulenten USB-Devices. Wie dieses Sicherheitsproblem aber dann in der (Fach-)Presse dargestellt wurde, war schon sehr „unterschiedlich“. Relativierende Kommentare, wie der von G DATA-Experte Ralf Benzmüller zu BadUSB waren in der Minderheit.

BlackHat-Vortrag zu manipulierbaren USB-Geräten

Wie schlimm ist BadUSB wirklich?

Die Sommerloch-Monster von 2015

Das Sommerloch begann 2015 quasi schon im Januar, mit Ramsunder Papineni, Regional Director FireEye (India and SAARC), der die „Monster-Jagd“ mit seinem Beitrag („RIP 2014 – The Year Antivirus Died and what’s Next“) für das VARINDIA Magazine eröffnete.

In seinem Beitrag verweist der Autor auf die kurze Lebenszeit moderner Malware und darauf, dass klassische signaturbasierte Antivirus-Produkte hier immer hinterherlaufen. Im Wesentlichen ist es die gleiche Aussage, die schon seine Vorgänger getroffen haben – man benötigt schnell neue Technologien, um effektiv gegen Malware vorzugehen.

• 2014: Brian Dye, Senior Vice President bei Symantec mit seinem berühmten Antivirus is dead

• 2013: Das Technical Directors Forum der NCC Group mit

• (pdf)

• 2012: Imperva mit Assessing the Effectiveness of Antivirus Solutions (pdf)

Die Frage nach der Wirksamkeit der AV-Lösung ist nach beinahe 30 Jahren der Nutzung nicht unberechtigt. Die Experten sind sich einig, dass ein Virenscanner heute nicht mehr genügt, um das angestrebte Schutzniveau zu gewährleisten!

227.747 Gründe sprechen dafür! Im Oktober 2014 nennt das spanische Unternehmen „Panda Security“ aktuelle Security-Zahlen für das 3.Q 2014. Über drei Monate hinweg wurden rund 20 Millionen neue Malware-Objekte gezählt – rund 227.000 jeden Tag! 227.000 Gründe, gegen Antivirus-Tools (im 1. Q 2014 waren es „nur“ 160.000 neue Malware-Objekte je Tag)!

Dies bedeutet nicht, dass jeden Tage Hundertausende neuer Computerviren, Trojaner oder BOTs programmiert werden. Aber es bedeutet, dass neue Schadsoftware durch Verschlüsselung, Permutation und polymorphe Techniken immer wieder ein neues Aussehen erhält. Die reale Menge an Malware ist dabei deutlich geringer und dürfte im zwei- bis dreistelligen Bereich liegen.

Die Auswirkungen der Malware-Permutation sind aber nicht zu unterschätzen und teilweise recht gravierend!

• 1. Dateien mit Malware-Definitionen nehmen im Umfang stetig zu

• 2. Der Speicherbedarf für die Definitions-Dateien auf Datenträger und im Arbeitsspeicher wächst ebenfalls

• 3. Aktualisierungen der Malware-Definitionen einmal täglich durch den Hersteller ist ggf. nicht ausreichend

• 4. Die Verteilung von Definitions-Dateien belastet das interne Firmennetzwerk zunehmend (Zeit & Last)

• 5. Die Gefahr von False-Postives steigt

• 6. Die Beschreibung der Malware hinkt in der Regel hinterher und erfolgt nicht parallel zur Erstellung einer Malware-Definition (wenn überhaupt)

• 7. Der Vergleich von Erkennungsraten unterschiedlicher Produkte basierend auf dem Malware-Namen wird durch die Menge an Objekten immer schwieriger

• 8. Die Laufzeiten des Virenscanners nimmt zu, da immer mehr Definitionen geprüft werden müssen

• 9. Aufgrund von programmtechnischer Grenzen werden ggf. Definitionen für selten auftretende Malware aus den Malware-Definition entfernt.

• 10. Malware-Permutationen sind das Ideale Versteck für eine einzelne, spezialisierte und zielgerichtete Schadsoftware, die sich so tarnt.

Die Wahrheit der Sommerloch-News

Meldungen über Bigfoot, dem Yeti oder Loch Ness-Monster, werden oft als geschickte Täuschung oder Fehlinterpretationen enttarnt. Aber an der Behauptung “Antivirensoftware ist tot“ scheint sich letztendlich doch zu bewahrheiten!

Allerdings gilt auch hier, Totgesagte leben länger! Antivirus ist derzeit eine unverzichtbare Komponente im IT-Sicherheitskonzept. Ein Verzicht auf dieses klassische Werkzeug wäre nur in einer absolut abgeschotteten Umgebung möglich, die keinerlei Kontakt zu fremden Systemen bietet. Da aber Kommunikation heutzutage das A und O in der IT ist, Daten weltweit über Cloud-Services fließen und man mit einer Vielzahl von Diensten kommuniziert, geht es nicht ohne diesen Schutz!

Der Schutz ist zwar inzwischen etwas löcherig geworden, aber eine besser Alternative ist nicht in Sicht. Aktuell kann man lediglich verschiedene Produkte einsetzen, die auf variable Weise Angreifer erkennen und darauf vertrauen, dass diese in der Summe zusammen, eine Attacke abwehren können.

(ID:43515500)