Hat Antivirensoftware ausgedient, weil es ihr nicht mehr gelingt, genügend Schadcode aufzuspüren und unschädlich zu machen? Antivirensoftware sei so gut wie "tot", sagte jetzt der Vizepräsident von Symantec, Brian Dye, dem Wall Street Journal.
Nur noch 45 Prozent aller Angriffe werde von dieser Software erkannt. Sie sei zwar weiterhin notwendig, aber ineffizient. Stattdessen würden Angreifer immer neue und schwerer identifizierbare Cyberattacken fahren. Symantec, die Firma, die vor rund 25 Jahren den ersten kommerziellen Antivirenschutz entwickelt hat, kapituliert nun scheinbar vor Hackern und anderen Cyberkriegern.
Katz-und-Maus-Spiel
Dass zumindest der klassische Virus tot ist, bestätigt auch der IT-Sicherheitsexperte Peer Heinlein. Heutige Viren folgten keinem klar aufgebautem Programmschema, sie seien vielmehr dynamisch und daher nicht mehr als Schadcode zu identifizieren. Und das bereite den Herstellern natürlich Probleme: "Die Code-Analyse und Pflege der Erkennungsdatenbanken ist das klassische Geschäftsmodell der Hersteller von Antivirensoftware". Dieses Katz-und-Maus-Spiel sei aber mit klassischer Erkennung nicht mehr zu gewinnen.
Bei Symantec ist der Umsatz bei der klassischen Antivirensoftware gesunken. "Wir sehen diese Programme nicht mehr als Geldmaschine an", so Dye. Stattdessen will Symantec Angreifer erst dann bekämpfen, wenn sie bereits in eine Netzwerk-Infrastruktur eingebrochen sind.
Thomas Hemker, Cyber Security Strategist bei Symantec, spricht hier von einem Paradigmenwechsel in der IT-Sicherheit. Jeder werde angegriffen, daher reiche es eben nicht mehr aus, bekannten Schadcode zu scannen und zu eliminieren. Vielmehr gelte es nun die Folgen zu verhindern.
Honigtöpfe und Fake-Netzwerke
Eine neuere Strategie ist die Installation sogenannter "Honeypots". Die "Honigtöpfe" sind Fallen, die den Angreifern besonders interessant erscheinen. Wird verdächtige Software auf diese Weise erwischt, wird sie analysiert. Anschließend soll ähnlich agierende Schadsoftware schneller aufgespürt und unschädlich gemacht werden können. Eine andere Möglichkeit ist es beispielsweise, Schadsoftware kontrolliert mit Fake-Netzwerken auszuführen.
Wesentlich ist es aber erst einmal, dass der Angriff erkannt werde. So vergehen laut einer Verizon-Studie bis zu 260 Tage, bis die Attacke als solche identifiziert wird. In Unternehmen werde oft nicht bemerkt, dass Hacker nicht nur einen Weg gehen, um zu spionieren, sabotieren und Geld oder Daten zu stehlen. Oft wissen die Verantwortlichen nicht, dass die auffälligen Aktivitäten an Punkt A und Punkt B zusammengehören.
Symantec will mit der neuen Strategie wieder zu anderen IT-Sicherheitsunternehmen aufschließen, die solche Lösungen bereits im Portfolio haben, sagte Intel-Security-Vizechef Michael Fey dem Wall Street Journal.
200 Millionen verschiedene Schadprogramme
Müssen nun alle Anwender ihre Antivirensoftware wegwerfen? Andreas Marx, Chef des Magdeburger Test-Instituts AV-Test verneint das. AV-Test prüft jeden Monat mehr als 35 Virenscanner und Internet Security Suiten für Privatanwender und Firmen. Sie seien nach wie vor die beste Möglichkeit bekannte Viren, Würmer und Trojaner zu erkennen und zu blockieren. Das funktioniere auch deshalb, weil es inzwischen mehr als 200 Millionen verschiedene Schadprogramme gebe und täglich etwa 250 000 neue dazukämen.
Das entbindet den Anwender aber nicht davon, weitere Maßnahmen für die eigene IT-Sicherheit zu ergreifen. Nach dem Motto "Sicherheit ist ein Konzept, keine Technik" gilt es immer noch, ein Back-up zu erstellen, nicht jeder E-Mail und jedem Webshop zu vertrauen und Daten, wo es geht, zu verschlüsseln.
