Antivirus-Software ist immer schlechter dazu geeignet, bekannte wie unbekannte Bedrohungen aufzuspüren. [...]
Virus Bulletin analysiert die Erkennungsraten von Antivirus-Software. Die aktuellen Daten geben dabei Anlass zur Sorge: Während die durchschnittliche Erkennungsrate von bekannter Malware im Jahr 2016 im Vergleich zum Vorjahr um einige Prozentpunkte nachgelassen hat, fiel die Erkennungsrate bei den Zero-Day-Sicherheitslücken von 80 auf besorgniserregende 70 Prozent.
„Wenn die gesamte Sicherheitsindustrie in Sachen proaktiver Schutz zehn Prozentpunkte und mehr einbüßt, ist das wirklich ungünstig. Antivirus ist zwar nicht tot – riecht aber schon ziemlich seltsam“, analysiert Stu Sjouwerman, CEO des Security-Awareness-Anbieters KnowBe4, die Zahlen.
Der Experte hält die Zahlen des Virus Bulletin für fundiert, die Tests für glaubwürdig – auch wenn lange nicht alle Security-Anbieter in den Statistiken vorkommen. Das, lässt Sjouwerman durchscheinen, habe dann schon seinen Grund.
Antivirus überfordert?
Doch woran liegt die sinkende Erkennungsrate der Virenschutz-Lösungen? Laut dem Experten können die derzeitigen Anbieter der Antivirus-Software einfach nicht mehr mit den Hackern Schritt halten: „Die bösen Jungs setzen inzwischen komplett auf Automatisierung. Sie besitzen eine Durchschlagskraft auf industriellem Level und verbreiten jeden Tag millionenfach neue Varianten ihres Schadcodes, mit dem Ziel, die existierenden Antivirus-Engines schlicht durch Überforderung auszuhebeln. Und es sieht ganz danach aus, als würden sie dabei die Oberhand behalten“.
Dabei ist Sjouwerman nicht der einzige Sicherheits-Experte, der für Virenschutz-Lösungen Schwarz sieht: „Dieses Problem ist nicht so einfach zu lösen. Wenn man Antivirus-Software zu aggressiv ausrichtet, sorgt sie für eine hohe Zahl von ‚false positives‘. Die Zukunft der IT-Sicherheit liegt in einer Kombination verschiedener Technologien. Antivirus-Software alleine ist keine zufriedenstellende Lösung mehr“, meint Amol Sarwate, Director beim Vulnerability-Management-Spezialisten Qualys.
Ähnlich drastisch sieht Justin Fier, Director bei Darktrace die Lage: „Ich würde keinem Kunden empfehlen, gar nicht mehr in Antivirus zu investieren. Aber wenn ich gefragt werde, ob Antivirus alleine noch funktioniert, kann ich nur sagen ‚eher nicht‘“.
Achillesferse Ransomware?
Insbesondere die steigende Beliebtheit von Ransomware sorgt für Probleme. Die Erpressungs-Malware ist für kriminelle Hacker mehr als profitabel: Im abgelaufenen Jahr konnten Cyberkriminelle circa eine Milliarde Dollar durch den Einsatz von Ransomware einnehmen. Das beweist nicht nur wie lukrativ solche Angriffe sind, sondern auch, dass die Malware mit den bewährten Schutzmaßnahmen kaum noch Mühe hat – auch wenn inzwischen Produkte erhältlich sind, die speziell auf Ransomware ausgerichtet sind.
„Einige dieser Produkte funktionieren, andere nicht“, weiß Stu Sjouwerman. „Sophos bietet seit kurzem ein solches Zusatzmodul gegen Ransomware-Angriffe an und das funktioniert wirklich gut. Allerdings ist Sophos eines der wenigen positiven Beispiel in diesem Bereich“.
Bei Sophos selbst weiß man ganz genau, warum das so ist: „Einer unserer wesentlichen Vorteile ist, dass wir uns nicht allein auf eine Technologie verlassen“, erklärt Dan Schiappa, Senior Vice President bei Sophos. „Wir verfügen über eine Art Mini-Analytics-Engine, die beim Scannen von Files bei Bedarf auf eine ganze Reihe weiterer Technologien zurückgreift, um festzustellen, ob es sich dabei um Malware handelt“.
Virenschutz ist nicht gleich Virenschutz
Andere Anbieter von IT-Sicherheitslösungen halten dagegen eine einzelne Testreihe für nicht besonders aussagekräftig: „Testergebnisse weisen eine Fluktuationstendenz auf – schließlich entwickeln sowohl Angreifer, als auch Sicherheitsforscher immer neue, innovative Techniken“, so Mark Nunnikhoven, Vice President of Cloud Research bei Trend Micro.
Trend Micro ist im Virus Bulletin nicht vertreten. Warum, dazu kann (oder will) Nunnikhoven nichts sagen – betont aber, dass man Virus Bulletin respektvoll gegenüberstehe. Nichtsdestotrotz stellt er im Anschluss die aktuellen Ergebnisse von AV Test heraus, wo Trend Micro in allen Belangen sehr gute Werte verzeichnen konnte.
In der Tat zeichnen die Durchschnittswerte bei AV Test im Allgemeinen ein anderes Bild als die von Virus Bulletin: Die Zero-Day-Erkennungsrate stieg hier von 97 Prozent (2015) auf 99,7 Prozent bei der aktuellen Windows-10-Testreihe.
Ein Problem bei solchen Testreihen ist laut David Dufour von Webroot die Art und Weise, wie eine erfolgreiche Erkennung gemessen wird. Signaturbasierte Antivirus-Lösungen könnten Malware früh erkennen, während verhaltensbasierte Systeme erst einmal abwarteten, bis die Malware wirklich aktiv wird.
„Viele Testmethoden“, fährt Dufour fort, „verlassen sich immer noch auf ältere Techniken und messen die Anzahl von Bedrohungen, die auf einem Rechner landen, anstatt darauf abzustellen, dass es Zeit braucht, Zero-Day- und andere unbekannte Malware zu identifizieren“.
Webroot ist übrigens weder bei Virus Bulletin, noch bei AV Test vertreten.
*Maria Korolov schreibt für die US-amerikanische IDG-Publikation CSO. Florian Maier ist Redakteuer der COMPUTERWOCHE.
Be the first to comment