Virenscan Die Antivirus-Software als Backup-Bremse?

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Backup und Restore sind Basisbausteine jeder Sicherheitsstrategie. Doch was macht man während Sicherung und Wiederherstellung mit der Antivirus-Software? Der Virenscanner entpuppt sich nämlich allzu oft als „Klotz am Bein“, den man nicht einfach losbinden kann.

Bei einer durchgängigen On-Access-Virenprüfung kann sich die Vollsicherung eines Rechners ganz schön hinziehen.
Bei einer durchgängigen On-Access-Virenprüfung kann sich die Vollsicherung eines Rechners ganz schön hinziehen.
(Bild: Archiv)

Wertvolle Daten können auf verschiedensten Wegen verloren gehen, sei es durch zerstörerische Malware, defekte Hardware, fehlerhafte Programme oder den ungeschickten Anwender. Ein gutes Backup-Tool und ein Virenscanner bilden dementsprechend eine bewährte Kombination im Kampf gegen Datenverlust.

Ebenso wie eine permanente Überwachung durch Security-Tools gehört auch der regelmäßige Sicherungslauf zu den etablierten Maßnahmen gegen einen möglichen Datenverlust. Abhängig von der Art der Daten und dem Unternehmensrisiko kann diese Maßnahme sehr unterschiedlich eingesetzt werden.

Über ein 1:1-Backup, das laufend alle Daten sichert, über stundenweise Intervalle bis hin zur täglichen, wöchentlichen oder monatlichen Gesamtsicherung des Datenträgers ist alles möglich. Wird für die Sicherungen jedoch zu viel Zeit benötigt, könnte das daran liegen, dass Backup/Restore-Konzept und Virenscanner nicht aufeinander abgestimmt sind.

Modus Operandi Virenscanner

Der klassische Virenscanner bedient üblicherweise zwei unterschiedliche Arbeitsmodi, unabhängig ob er auf einem Server oder Client abläuft. Im klassischen „On-Demand-Modus“ werden durch den Virenscanner alle Dateien überprüft. Dabei wird quasi ein Anwender simuliert, der jede Datei zur Bearbeitung öffnet und wieder schließt.

Im sogenannten „On Access Mode“ werden aktive Dateien und Prozesse auf Schadsoftware überprüft. Dies kann während sowohl während der READ- und/oder der WRITE-Bearbeitung erfolgen. Eine Datei in beiden Zuständen zu überprüfen erhöht die Entdeckungswahrscheinlichkeit, macht sich aber negativ beim Datendurchsatz bemerkbar. Schließlich wird jede Datei beim bzw. vor dem Öffnen geprüft und dann nochmals, wenn sie wieder geschrieben bzw. geschlossen wird.

Der klassische Virenscanner kann bei realen und virtuellen Systemen eingesetzt werden. Allerdings ist die Nutzung eines für virtuelle Systeme konzipierten Virenscanners zu bevorzugen. Dieser benötigt meist weniger Ressourcen (z.B. Speicherplatz auf dem Storage-System) und agiert i.d.R. performanter.

Über einen eigenen Agenten oder über eine offizielle Schnittstelle werden dabei die Daten überprüft, die zwischen Speichermedium und virtuellen System fließen. Wird in diesem Datenstrom Malware erkannt, blockiert der Virenscanner den Zugriff auf die Daten bzw. kennzeichnet diese als virulent.

Strategie-Entscheidung

Völlig gleich, ob Privatanwender oder Unternehmen, man sollte immer eine auf die eigenen Bedürfnisse abgestimmte Backup-Strategie verwenden. Lösungen „Out-of-the-Box“ funktionieren normalerweise problemlos, aber sie kosten gegebenenfalls viel Performance oder Ressourcen.

Wer physikalische 1:1-Sicherungskopien erstellt, kann i.d.R. auf Strategie-Entscheidungen verzichten, da während der Sicherung das zu sichernde Medium inaktiv ist (ebenso ggf. vorhanden Malware).

Erst bei einem erforderlichen Restore wird die Strategie wieder wichtig. Denn es gilt zu definieren, welche nachfolgen Aktivtäten man ausführen muss. Dabei ist es gleichgültig, ob ein Image wirklich eins zu eins wiederhergestellt wird oder nur einzelne Dateien der physikalischen Sicherung.

Strategie: Sicherheit

Bei Sicherheit wird ein Backup durchgeführt mit aktiviertem Virenscanner. Dabei werden alle Daten die gesichert werden, durch den Virenscanner „on the fly“ überprüft. Werden verdächtige Dateien entdeckt, wird der Zugriff darauf blockiert und die Datei wird im Idealfall nicht mitgesichert.

Der Vorteil dieser Strategie ist, dass man keine zum Zeitpunkt der Sicherung erkennbare Malware auf einem Sicherungsmedium archiviert. Von Nachteil sind der Zeitfaktor und ein gewisses Restrisiko – denn der Virenscanner erkennt nur die ihm bekannt Malware. Es wäre also möglich, dass bis dato unbekannte Malware mitgesichert wird. Diese würde dann erst zu einem späteren Zeitpunkt zu entdecken sein, wenn der Virenscanner ein neueres Such-Pattern nutzt.

Strategie: Geschwindigkeit

Bei Geschwindigkeit wird der Virenscanner deaktiviert – ggf. sogar vorübergehende deinstalliert, um alle Services und Programme zu entfernen. Dies führt zu einer optimierten Backup-Geschwindigkeit und damit zu einem kurzen Zeitfaktor.

Nachteilig ist jedoch, dass hier noch wahrscheinlicher ist, dass auch Malware mitgesichert wird. Bei einem späteren Daten-Restore müssen also die wiederhergestellten Dateien zunächst auf Schadsoftware überprüft (On-Demand) werden, da hier ein potentielles Risiko besteht.

Strategie: Mixbetrieb

Bei Mixbetrieb sind verschiedene Varianten möglich, die abhängig sind vom gesicherten Volumen, der Art der Sicherungsdaten, dem Speichermedium und anderen Faktoren.

Variante 1

Backup: 1:1-Kopie aller Programme und Daten auf eine Festplatte ohne Komprimierung

Betrieb: Sicherung ohne Virenscanner; Nach Abschluss der Sicherung ein On-Demand-Lauf auf die Sicherung

Status: Sicherung ist performant und Malware wird asynchron auf dem Backup gefunden.

Variante 2

Backup: Backup aller Daten auf ein Sicherungsband mit Komprimierung

Betrieb: Sicherung mit aktivem Virenscanner und prüfen von gefährdeten Datendateien (.DOCx, .PDF etc.)

Status: Sicherung ist performant, da nur die Files geprüft werden, die gefährdet sind

Variante 3

Backup: Backup aller Daten und Programme auf ein Sicherungsband mit Komprimierung

Betrieb: Sicherung mit aktivem Virenscanner für den entsprechende Backup-Settings gesetzt sind

Status: Überprüfbare (.dll, .exe etc.) und gefährdete Dateien werden auf Malware gecheckt und überflüssige Verzeichnisse und Extensionen von der Überprüfung ausgeschlossen.

Im Mixbetrieb lassen sich gute Ergebnisse erreichen. Dies setz t jedoch voraus, dass man das zu sichernde System über den Dateibestandes klassifizieren kann, um so die beste Backup-Variante zu bestimmen.

Der Community-Gedanke zahlt sich aus

Tool-Hersteller bieten i.d.R. Best-Practice-Infos an, wie sich die Kooperation von Sicherungsprogramm und Virenscanner am besten bewerkstelligen lässt. Intel Security beispielsweise hat Schnittstellen zu einem Symantec-Sicherungsprogramm geschaffen. Recht einfach, über sogenannte Exklusionen (also Dateiausschlüsse) können schon spürbare Performance-Verbesserungen erreicht werden.

Es lohnt sich also, in User-Foren, Knowledge-Datenbanken und Best Practices zu lesen, was an sinnvollen Maßnahmen möglich ist. Denn selbst das schnellste Sicherungsmedium, die beste Anbindung – irgendwann wird dies nicht mehr genügen, denn die Datenmenge steigt stetig und damit auch der Zeitbedarf für eine Sicherung bzw. die Restore-Option.

Schlussbemerkungen

Das Backup/Restore-Konzept ist so alt wie die IT selbst. Doch auch Altbewährtes will verbessert werden. Dies gilt insbesondere für Unternehmen mit einer lebendigen, globalen Infrastruktur, die mit permanent schrumpfen Wartungszeiträumen zu kämpfen haben. Und auch der Otto Normalverbraucher tut gut daran, hin und wieder das Backup/Restore-Konzept zu überarbeiten. Denn wenn die Vollsicherung länger als acht Stunden läuft, macht das wirklich keinen Spaß mehr.

(ID:43807138)

Über den Autor