Nur die Hälfte der Antiviren-Programme bietet erstklassigen Schutz vor der Flut unterschiedlichster PC-Schädlinge. Die PC-Welt verrät, wie die Tools funktionieren und für wen sich welches Programm am besten eignet.
Von Arne Arnold, PC-Welt
Testbericht
Zahllose neue Viren gab es 2008, und die meisten von ihnen schleusen sich auf immer raffiniertere Weise auf den PC. Gegen diese Flut unterschiedlichster Schädlinge muss ein Antiviren-Programm den Rechner wirksam schützen können. Wir haben 10 solcher Tools genau unter die Lupe genommen: Über 490.000 Schädlinge mussten die Programme finden und blocken. Einige nutzen dafür neue, moderne Techniken. Hier erfahren Sie, wie die Tools funktionieren - und wie gut sie in unserem Vergleichstest abschneiden.
Neue Technik gegen die Virenflut
Traditionell arbeiten Antiviren-Programmen mit Virensignaturen. Taucht ein neuer Schädling auf, analysiert ein Experte den Virus und erstellt eine Art Fingerabdruck, den das Antiviren-Programm dann herunterlädt. Damit kann es nun den Virus erkennen und abblocken. Doch bei 1500 und mehr Viren pro Tag kommen die Experten im Labor mit der Arbeit nicht mehr nach.
Serverbasiertes Blacklisting
Eine vielversprechende Technik gegen die Virenflut ist das serverbasierte Blacklisting. Hier greift das Antiviren-Tool im Zweifelsfall auf eine Datenbank beim Antiviren-Hersteller zu und prüft, ob eine verdächtige Datei dort bereits bekannt ist. Interessant wird es, wenn die Datenbank auch mit Details zu Schädlingen gefüttert wird. Etwa mit gefährlichen Internet-Adressen, unter denen aktuell Viren gespeichert sind. Entdeckt nun ein Antiviren-Programm einen verdächtigen Code, der Dateien von eben dieser Internet-Adresse laden möchte, kann das Antiviren-Programm davon ausgehen, dass es sich hier wie dort um Schadcode handelt. Panda Security hat ein entsprechendes System, Trend Micro und F-Secure ein ähnliches. Einige Hersteller bestücken ihre Datenbank aber lediglich mit den üblichen Fingerabdrücken aus dem Labor. So entsteht kaum ein Vorteil gegenüber heruntergeladenen Signaturen. Das serverbasierte Blacklisting hat aber auch seine Schattenseiten. Die Datenbanken bei vielen Herstellern speisen sich auch durch Meldungen, die das Antiviren-Programm auf den PCs der Anwender generiert. Es werden also detaillierte Infos, oft auch die verdächtige Datei selbst, an den Hersteller gesendet. Ein großes Problem, was die Privatsphäre des Anwenders betrifft. Hier sollte das Programm jedem Anwender genau zeigen, was gesendet wird. Vorbildlich ist dabei Norton Antivirus. Panda Security dagegen verrät nichts über die gesendeten Details.
Erfolgreich: Verhaltensanalyse
Heute schon wichtig, künftig vermutlich unverzichtbar: ein Modul im Antiviren-Programm, das auch ohne Fingerabdrücke Schädlinge erkennt und damit nicht auf ständige Updates angewiesen ist. Dieses Modul analysiert das Verhalten eines jeden aktiven Programms auf dem PC. Erweist sich das Programm als gefährlich, wird es gestoppt. Das kommt einer Gratwanderung gleich, denn um einen Code überhaupt aufzuspüren, muss das Modul ihn erst einige Aktionen gewähren lassen - und dann rechtzeitig blockieren, bevor er Schaden anrichten kann.