Aber sicher doch! Spezialfall Virenscanner
- Details
- Geschrieben von IRON
- Zugriffe: 1027
Seit es Viren und andere Schädlinge gibt, gibt es auch Viren- u. Malwarescanner. Und seither sind sie ein Problemkind auf fast jedem PC. Ich schrieb an anderer Stelle über ihre prinzipiellen Schwächen und möchte hier auf weitere Aspekte des Problems eingehen. Der Computerlaie kauft oft Rechner mit vorinstallierter Software, zu der in der Regel auch ein Virenscanner gehört. Oft bleibt der Besitzer bei diesem Produkt, es sei denn, es macht Ärger, versagt oder er geht einer anderen Firma durch Werbung auf den Leim.
Wenn nun der Moment gekommen ist, wo man sich für ein neues Programm entscheiden soll, zieht man gerne Testergebnisse aus PC-Zeitschriften/Webportalen zu Rate. Schauen wir uns die doch mal genauer an...
Die Virenerkennung wird anhand von sogenannten Testsets mit einer Sammlung von Schädlingen geprüft. In der PCGH 01/2010 z.B. (das gesamte Prozedere und die im weiteren beschriebenen Testmängel gelten auch heute) unterscheidet man zwischen ITW-Viren (weit verbreitet), Zoo-Malware sowie Ad- u. Spyware. Die Testsets für letztere belaufen sich auf 550.096 bzw. 22.634 Schädlinge. Wieviele es bei den ITW-Viren sind, wird nicht erwähnt. Sieger (bei kostenlosen Scannern) wird Avira, das 99,38% bzw. 96,92% der Übeltäter erkennt. Das bedeutet aber 0,62% bzw. 3,08% Versager und das sind in absoluten Zahlen 3411 bzw. 697 Schädlinge, die der Testsieger übersah. Hoppla! Ein bisschen viel, wo doch schon EIN Schädling auf dem Rechner eine Katastrophe bedeuten kann.
Passend zum Schwerpunkt der Zeitschrift wird über Gebühr ausführlich darüber berichtet, wie sehr ein Virenscanner das System z.B. beim Spielen oder Kopieren von Dateien ausbremst. Als ob das wichtig wäre!
Nächstes Beispiel. PC-Welt 1/10. Hier werden 11 kommerzielle Scanner getestet. Diesmal wird etwas mehr differenziert, nämlich zwischen Zoo-Malware (639.994), Ad- u. Spyware (38.036 Dateien), Heuristiktest (3578 Dateien), der Malware-Reinigung von 10 aktiven Schädlingen und der Erkennung und Reinigung von 10 aktiven Rootkits. Der Sieger (G-Data Antivirus) übersieht: 320 Stk. Zoo-Malware, 57 Stk. Ad- u. Spyware, 1005 (!!) Dateien im Heuristiktest, 9 Schädlinge im Malware-Reinigungstest und 3 aktive Rootkits. Das sieht irgendwie GAR NICHT gut aus, finde ich.
In der Chip 01/2010 gibts 8 Testkandidaten. Unterschieden wird nur grob nach Backdoors/Bots, Zombies sowie Trojaner/Spyware und verhaltensbasierter Erkennung. Leider wird mit Zahlen gegeizt. Von rund 500.000 Schädlingen (Samples) im Testset ist die Rede. Wie sich die 500.000 Schädlinge auf die Schädlingskategorien verteilen, wird nicht erklärt. Daher sind die Testergebnisse im Prinzip völlg nutzlos. Aber nehmen wir mal an, sie würden sich in etwa ebenso verteilen, wie bei den vorangegangenen Beispielen. Bloß kann man bei einer so vermurksten Kategorisierung, in der Backdoors von Trojanern unterschieden werden, obwohl beide eng verwandt sind, die Zahlen nicht aufdröseln. Dankenswerterweise sind die Testergebnisse beim Sieger (Norton-Symantec) so ähnlich, dass man getrost einen Durchschnittswert bilden kann: ca. 0,97% Schädlinge werden übersehen - in Zahlen ca. 4850. Örgs!
Letztes Beispiel: c't 26/2009. Das Testset für Zoo-Malware und Ad- und Spyware entspricht dem aus dem PCGH-Test. Zusätzlich testete man bei unterschiedlich alten Signaturen (2 bzw. 4 Wochen alt) und nach dem Erfolg bei inaktiven und aktiven Rootkits und deren Erkennung.
Allerdings gibt es hier keinen erklärten Erst- oder Zweitplatzierten usw., sondern lediglich Plus- und Minuspunkte bei der Bewertung in 9 Kategorien. Daher wähle ich in den Erkennungskategorien die jeweils Besten aus: Es werden übersehen: Zoo-Malware: 550, Ad- u. Spyware: 45. Von den Rootkits werden von den 10 Stück 1 aktives übersehen und 2 nicht entfernt.
Welchen Test auch immer man hier zu Rate zieht - man greift auf jeden Fall voll in die Scheiße, sofern man sich vom Testsieger einen zuverlässigen Schutz verspricht. Positiv beim Test der c't fiel mir neben dem Verzicht auf eine ausdrückliche Siegerehrung auch eine ausführliche Beschreibung der Probleme beim Installieren und Konfigurieren der Programme auf. Eins fällt extrem negativ auf: Es gibt keine einheitlichen Test- und Bewertungsbedingungen. Jedes Blatt benutzt andere bzw. abweichende Bezeichnungen, gewichtet nach anderen Schwerpunkten und stiftet durch Ungenauigkeiten in den statistischen Zahlen Verwirrung. Die schönen Zahlen mit der 99 vor dem Komma sind nur eins - IRREFÜHREND!
Du bist nach dem Lesen dieser Zeilen frustriert, verwirrt und desillusioniert? Willkommen im Club! Was tun?
Ich schreibe bzw. sage es noch einmal in aller Deutlichkeit: Im Rahmen eines individuellen, umfassenden Sicherheitskonzepts für einen Privat-Rechner sind Virenscanner und ähnliche Malware-Schutzprogramme nur eine von vielen und keineswegs entscheidende Maßnahme. Sie sind eine Ergänzung - mehr auch nicht.
Wichtiger als Virenscanner sind Anwendungsprogramme ohne unbehobene Sicherheitslücken, ein aktuell gehaltenes Betriebssystem und extreme Vorsicht beim Umgang mit Downloads und fremden Dateien aus unzuverlässigen oder gar unseriösen Quellen.
Anmerkung zum Schluss
Wenn sich jemand, wie ich es schon lange tue, öffentlich und kritisch zum Thema Computersicherheit äußert und diverse unpopuläre Ratschläge erteilt, lässt die Frage nach dem konkreten Schutz für meinen Rechner nicht lange auf sich warten. Ich warne ausdrücklich davor, dass PC-Laien meine persönlichen Maޮßnahmen, insbesondere was die Wahl von "Schutzprogrammen" angeht, 1:1 übernehmen!
Da ich Virenscanner sowieso nicht als wesentlichen Schutzmechanismus betrachte, reicht mir ein kostenloses Programm mit hoher Updatehäufigkeit und "akzeptablen" Erkennungsraten, denn ich ziehe es eh nur von Fall zu Fall zu Rate, wenn ich bereits einen Anfangsverdacht habe. Zudem nutze ich Onlineangebote wie Virustotal, wo man verdächtige Dateien hochladen und von einer ganzen Reihe Virenscannern testen lassen kann. Ansonsten beschränke ich mich auf Analyse-Tools von Sysinternals und restriktive Sicherheitseinstellungen bei Browser und anderen internetrelevanten Programmen und Systemdiensten. Das funktioniert bestens - bei mir - und zwar deshalb, weil ich extrem misstrauisch und vorsichtig bin und von etlichen Jahren eigener und fremder Erfahrung profitiere. Ich bin davon überzeugt, dass jeder, der das Internet nutzt, zumindest moralisch Verantwortung dafür trägt, dass von seinem PC keine Gefahr für andere ausgeht. Wer diese Verantwortung abstreitet, handelt in meinen Augen asozial.