Digitale Plagegeister ausgesperrt!

Ohne einen adäquaten Virenschutz kommen weder Privatanwender noch Unternehmen aus: Eine Tatsache, die angesichts der mehr als 40 Millionen geschätzten digitalen Schädlinge sicher leicht nachzuvollziehen ist. Das Risiko, das von bösartigen Programmen - ganz gleich, ob es nun Viren, Trojaner oder andere Plagegeister sind - ausgeht, ist einfach zu groß. So bietet der Markt eine reiche Auswahl an Sicherheitsprogrammen für Windows, Linux, OS X und mobile Geräte.

Dabei statten die Hersteller ihre Antiviren-Software für den heimischen Privat-PC oft mit vielen Zusatzfunktionen aus, die von einer verbesserten Firewall bis hin zur Kindersicherung reichen. Im betrieblichen Umfeld sind derlei Erweiterungen oft unerwünscht und die Funktionen der Programme beschränken sich auf den reinen Virenschutz. Dafür verlangen Administratoren von den Profi-Varianten der Programme, dass sie diese zentral steuern und auch die Updates von einem Rechner aus verteilen können. Doch für beide Gruppen gilt: Es gibt einige zentrale Fakten und Daten zu Antiviren-Lösungen, die man kennen sollte. Unsere FAQ listet sie auf und gibt Antworten auf die Fragen rund um diese Schutzprogramme.

Wie arbeitet eine Antivirus-Software?

Eine Antivirus-Software überwacht grundsätzlich alle laufenden Programme. Dabei prüft sie die zu lesende und zu schreibende Dateien auf Aktivitäten von Schadsoftware hin. Über regelmäßige Updates - manchmal mehrere pro Tag - wird die Datenbank der bekannten Schadprogramme laufend aktualisiert. Darüber hinaus gibt es für Schadprogramme typische Verhaltensweisen, die von der Antivirus-Software als Anzeichen für einen neuen, bisher unbekannten Schädlingstyp interpretiert werden können.

Wie kann eine Antivirus-Software reagieren?

Antiviren-Programme verhindern den Zugriff auf infizierte Dateien, löschen diese oder können sie in die Quarantäne verschieben. Im Quarantäne-Verzeichnis bleibt die Datei so lange, bis sichergestellt ist, dass sie für das System keine Gefahr mehr darstellt. Je nach Schädlingstyp ist die AV-Software auch in der Lage, den Schädling aus der Datei zu entfernen, ohne dass dabei der Dateiinhalt verloren geht. Leider funktioniert das nicht immer.

Praxis-Tipp: Wenn die Reparatur einer Datei auf diese Art (Schädling aus der Datei zu entfernen) scheitert, muss der Anwender in den sauren Apfel beißen und die Datei komplett vom System entfernen respektive in die Quarantäne verschieben. Es gilt der Grundsatz: Niemals eine infizierte Datei im System lassen, weil der Inhalt "wichtig ist"!

Mit Hilfe eines Notfall-Datenträgers können die meisten AV-Programme ein infiziertes Betriebssystem über einen externen Datenträger (USB-Stick, CD oder DVD) reparieren. Dies ist nur erforderlich, wenn das primäre Betriebssystem so stark durch einen Schädling in Mitleidenschaft gezogen wurde, dass ein normales Arbeiten nicht mehr möglich ist.

Sollte ich lieber zwei AV-Lösungen gleichzeitig verwenden?

Das klingt zwar nach doppelter Sicherheit, birgt jedoch ein Risiko für die Performance des Gesamtsystems. Üblicherweise wird der Antiviren-Scanner durch eine Datei-Aktivität zur Prüfung angeregt; somit stoßen sich beide Scanner gegenseitig an. Es gibt Antiviren-Programme am Markt, die mit zwei AV-Datenbanken oder auch zwei aufeinander abgestimmte AV-Engines arbeiten, um möglichst schnell auf einen neuen Schädling reagieren zu können.

Praxis-Tipp: Wir raten dringend davon ab, beispielsweise die AV-Programme zweier Hersteller auf einem System gleichzeitig zu betreiben - dies kann bis zum Absturz des Betriebssystems führen, da die Antiviren-Programme zumeist sehr eng mit dem Kern des Systems verknüpft sind.

Was sind AV-Pattern oder Signatur-Updates?

Die Datenbanken mit den bekannten Schädlingen müssen ständig auf dem neuesten Stand gehalten werden. Diese Aktualisierungsinhalte werden als AV-Pattern oder Signatur-Updates bezeichnet. Ohne regelmäßige Updates dieser Art ist der Einsatz einer AV-Software sinnlos.

Wie kann ich meine Antivirus-Software testen?

Um die Funktionalität der eigenen Software zu prüfen, gibt es den EICAR-Teststring. Hierbei handelt es sich nicht um einen Virus, sondern nur um eine Signatur, die von allen Antivirenprogrammen als Virus interpretiert wird. Weitere Testviren, beispielsweise den W32.Beagle, W32.Netsky oder den Win32.Trojan.Proxy.gen, findet der interessierte Leser bei Testvirus.de.

Ist es gefährlich, einen Virus zu speichern?

Ein nicht aktiver Computervirus, der einfach nur auf einem Datenträger gespeichert ist und nicht gestartet wird, ist ungefährlich. Trotzdem sollten sich Anwender nicht ohne Not Programme wie Viren, Keylogger oder Trojaner auf die eigenen Systeme holen - es ist oft nicht zu sehen, wo und wie sich die Programme dann doch ins System "einnisten".

Was ist die "Wildlist"?

Bei einer Vielzahl von Computerviren handelt es sich um so genannte "Proof of Concept"-Schädlinge. Das sind Schadprogramme, die zur Beweisführung entwickelt wurden: als Beweis dafür, dass sich Sicherheitsheitslücken oder auch konzeptionelle Fehler in einer Applikation oder im Betriebssystem durch einen Schädling ausnutzen lassen. Diese Viren verlassen niemals das "Labor" der Hersteller und stellen für Anwender keine tatsächliche Bedrohung dar. Diese PoC-Schädlinge werden entwickelt, um Hersteller zu animieren, die ausgenutzten Lücken zu schließen.

Ganz im Gegensatz dazu gibt es Schädlinge, die in "freier Wildbahn" (in the wild) entdeckt worden sind. Der "Hash-Wert" dieser Schädlinge wird monatlich auf der Webseite http://www.wildlist.org/ veröffentlicht. Alle Antiviren-Lösungen werden diese Schadprogramme mit großer Sicherheit entdecken. Einer der Autoren hat in der jüngeren Vergangenheit mit dem Magdeburger AV-Test-Institut einen größeren Vergleichstest von AV-Programmen unter Microsoft Windows begleitet. Mehr als 5000 Schädlinge - sowohl per On-Demand-Scanner, als auch mit dem On-Access-Virenwächter geprüft - wurden von jeder Lösung zu 100 Prozent erkannt. Da die Hersteller die Datenquelle der offiziellen "Wildlist" gemeinschaftlich mit Informationen füllen, ist dieses Ergebnis kaum verwunderlich.

Wirkt sich ein Antivirus-Programm auf die Performance aus?

Es liegt auf der Hand, dass ein Computer, der alle Dateien und Prozesse genau überwacht, Zeit für diese Arbeit benötigt. Folglich dauert alles, was auf diesem Rechner unternommen wird, ein wenig länger als ohne Virenschutz. In Performance-Tests werden hierzu typische Benutzervorgänge wie das Starten des Computers, Öffnen einer Office-Applikation, das Bearbeiten und Speichern von Dateien oder der Besuch einer Webseite verglichen.

Immer wieder gibt es bei verschiedenen AV-Programmen zum Teil dramatische Auswirkungen auf die Leistung des Computers. Da dauert das Öffnen eines Word-Dokuments auf einmal zehnmal so lange wie auf einem PC ohne AV-Software. In der Regel sind die Hersteller dieser Programme aber durch die hohe Frequenz ihrer Updates dazu in der Lage, dieses Fehlverhalten schnell zu korrigieren.

Gibt es "die beste" Antiviren-Software?

Das Ergebnis aus den vielen Vergleichstests zeigt, dass einmal die eine Lösung bessere Ergebnisse erzielt, während beim nächsten Test eine andere Software die Nase vorn hat. Große Security-Anbieter wie beispielsweise Kaspersky betreiben personalintensive Labore, um möglichst zügig Aktualisierungen für ihre Produkte bereitstellen zu können. Zudem informieren sie über ihre Websites und Blogs stets über die aktuelle Virengefahr. Für Privatanwender spielen jedoch oft die mitgelieferten Zusatzfunktionen und der Preis eine entscheidende Rolle bei der Produktauswahl. Kurzum: Nein, die "beste" AV-Software gibt es nicht - es gibt aber sicher Unterschiede in den Funktionalitäten, die der Anwender nach seinen Bedürfnissen und Vorstellungen beurteilen sollte.

Antivirenprogramme sind in der Regel sehr teuer, oder?

Es gibt neben den kostenpflichtigen Lösungen auch kostenfreie Antiviren-Programme, beispielsweise von Microsoft (Security Essentials) und Avira. Kostenlose Programme bieten eher einen Grundschutz, während die kostenpflichtigen Varianten ausgereiftere Schutzfunktionen aufweisen. Die Kosten sollten aber nie ein Grund sein, um auf eine Antiviren-Lösung zu verzichten.

Praxis-Tipp: Wenn Sie kein Geld für eine AV-Lösung ausgeben wollen, dann verwenden Sie auf jedem Fall eine der kostenlosen Lösungen, um den Grundschutz ihres Rechners zu sichern - das gilt auch für Systeme unter Apples Mac OS X, für die beispielsweise Sophos eine gratis Alternative zum Download anbietet.

Gibt es eine zu 100 Prozent sichere Antiviren-Lösung?

Nein - logischerweise ist der Virenprogrammierer immer etwas schneller als der Entwickler, der an einem "Gegenmittel" arbeitet.

Sollten die Grundeinstellung der AV-Software geändert werden?

Dafür gibt es keinen Grund - es sei denn, der Benutzer weiß genau, was er tut. In der Standardauslieferung sind die Einstellungen, die an Clients in Unternehmen ausgesandt werden, eher "konservativ" gewählt. Hierdurch wird die Gefahr von "false positive"-Befunden (irrtümliche Schädlings-Erkennung) verhindert.

Lösungen für den Privat-Computer arbeiten häufig mit "härteren Einstellungen", um die Betriebssicherheit zu erhöhen. Die Gefahr eines irrtümlichen Virenfunds steigt zwar, der Schutz ist aber auch größer. Die Erkennungsraten der AV-Programme in den "Retail"-Versionen für den Privatanwendermarkt sind teilweise höher, was sich immer wieder in den Testergebnissen der Computerpresse niederschlägt. Da auf Unternehmensrechnern primär betriebliche Applikationen zum Einsatz kommen, ist diese Standardeinstellung der Hersteller nachvollziehbar.

Reichen unter Windows nicht die UAC und der Defender?

Microsoft hat sein Windows-Betriebssystem mit vielen wichtigen Sicherheitsfunktionen ausgestattet. Dazu gehören die "Datenausführungsverhinderung", sobald Programme versuchen auf fremde Speicherbereiche zuzugreifen, das mehrstufige Sicherheitskonzept "UAC" oder der eingebaute Anti-Spyware Windows-Defender. Diese Programme ersetzen jedoch keine Antiviren-Software!

Ich habe einen Apple - da brauche ich keinen Virenschutz!

Diese Annahme ist genauso weit verbreitet wie falsch. Auch für OS-X-Systeme sind Trojaner, Viren und Würmer bekannt - wenn auch in deutlich geringerer Anzahl. Die Infektion durch den Trojaner "Flashback" hat im April 2012 binnen kürzester Zeit weltweit mehr als eine halbe Millionen Apple-Rechner befallen. Grund genug, auch diese Computer mit einer Antiviren-Software auszustatten (siehe auch Praxis-Tipp bei der Frage zu den kostenlosen AV-Seiten).

Viren bekommt man doch nur auf "Schmuddel-Seiten"!

Die Wahrscheinlichkeit, den eigenen Computer mit einem Schädling zu infizieren, steigt mit dem Besuch "verruchter" Websites dramatisch an. Hierbei sind jedoch nicht in erster Linie Erotik-Angebote gemeint. Anbieter von diesen Inhalten haben gemeinhin weniger das Interesse, den Computer des Besuchers zu infizieren, als ihn zum Abschluss eines kostenpflichtigen Abo-Vertrags zu animieren. Websites, die "geknackte Software" (Cracked Software) scheinbar kostenlos zum Download anbieten, sind da schon eher wahre "Virenschleudern". Ein aktueller Trojaner für OS X nutzt beispielsweise ein Lücke in Java aus und infiziert das Betriebssystem mithilfe eines Word-Dokuments mit Thesen und Aussprüchen des Dalai Lamas - und dieser ist bei dem Begriff "Schmuddel im Internet" wohl über jeglichen Verdacht erhaben.

Praxis-Tipp: Natürlich steigt die Gefahr, seinen PC mit einer Infektion zu versuchen, wenn sich der Anwender in den "dunklen Bereichen" des Internets aufhält. Aber grundsätzlich ist der ausschließliche Besuch seriöser Seiten kein Schutz von Angriffen: Hier gilt es - neben einer erhöhten Wachsamkeit -, auch den Browser mit entsprechenden Maßnahmen wie beispielsweise NoScript zu schützen.

Für mein altes Betriebssystem gibt es keinen Schutz mehr!

Die meisten Security-Hersteller bieten leider keine Updates und Software mehr für Altcomputer unter Windows NT 3.x, 4.x, Microsoft Windows sowie aus der Windows-9x/ME-Zeit oder auch Apple OS 10.x-Computer mit Motorola G3- oder G4-CPU an. Die Gründe dafür sind leicht nachvollziehbar - derlei Computer gibt es nur noch in sehr geringer Anzahl und eine Unterstützung dieser Geräte ist für ein Softwareunternehmen nicht rentabel.

Gewöhnlich endet ein bis zwei Jahre nach der Abkündigung des Betriebssystemherstellers auch der Antiviren-Support. Manche Anbieter gewährleisten aber eine deutlich längere Produktunterstützung - hier sei besonders Sophos positiv erwähnt. Üblicherweise empfiehlt es sich, alte Computer mit abgekündigtem Betriebssystem durch jüngere Varianten zu ersetzen.

Ist der Weiterbetrieb des "Altrechners" jedoch unerlässlich, da beispielsweise eine besondere Anwendungssoftware oder Branchenlösung nur auf diesem System arbeitet, sollte die Antivirensoftware mit der jüngsten Antiviren-Signatur weiterbetrieben werden. Sofern der Computer ohne Anschluss zum Internet oder Netzwerk und ohne den Austausch von Datenträgern mit anderen Computern betrieben wird, lässt sich wenigstens nicht von einem tatsächlichen Virenrisiko sprechen.

Mehr zur Sicherheit alter Windows-Systeme lesen Sie hier.

Ich darf keinen Virenschutz auf dem System einsetzen!

Es gibt leider auch moderne Server- und Client-Systeme, die nicht mit aktueller Antivirensoftware ausgestattet werden können. Damit sind die Maschinen gemeint, die aufgrund einer sehr restriktiven Compliance- und Change-Management-Richtlinie nicht verändert werden dürfen.

Für derlei Szenarien bieten sich Speziallösungen wie das Produkt "Norman Network Protection" (NNP) des aus Oslo stammenden Herstellers "Norman ASA" an. Der NNP-Server überwacht die ein- und ausgehenden Datenpakete von Netzwerkverbindungen auf Schadsoftware und unterbricht im Bedarfsfall die Verbindung. So ist ein Virenschutz auch ohne die lokale Installation möglich.

Fazit: Ohne Schutz geht es einfach nicht!

Schützen Sie Ihren Computer durch eine Antivirus-Software und halten Sie diese und das Betriebssystem auf dem aktuellsten Stand. Wenn Sie diese, doch sehr einfache Empfehlung berücksichtigen, haben Sie bereits sehr viel für die Betriebssicherheit Ihres Computers getan.

Dabei ist der Einsatz kostenfreier AV-Programme auf jedem Fall besser, als auf die Verwendung von Schutzprogrammen zu verzichten. Immer wieder berichten IT-Professionals, dass sie auf ihren Computern komplett auf einen Virenschutz verzichten, da sie die Gefahr als "übertrieben" einstufen. Da dieser Personenkreis die Maschinen selbst wieder einrichten kann und möglicherweise über das notwendige Handwerkzeug verfügt, entstandene Schäden selbst zu reparieren, können diese "Experten" diese Einstellung und die daraus resultierenden Konsequenzen für sich selbst verantworten. Wer einfach nur sicher sein will, der schaltet den Antivirus-Schutz niemals ab und hält ihn immer auf dem aktuellen Stand. (sh)