Antivirus

Antivirenprogramm – Wikipedia

Dieser Artikel bedarf einer Überarbeitung: Er basiert zum großen Teil nicht auf

Bitte hilf mit, ihn zu verbessern , und entferne anschließend diese Markierung. Er basiert zum großen Teil nicht auf zuverlässigen Quellen und es ist daher zweifelhaft, ob dieser Artikel das Thema angemessen und wertneutral wiedergibt. Aussagen aus diesem Artikel sollten mit Hilfe verlässlicher Quellen überprüft und ggf. korrigiert werden.

Ein Antivirenprogramm, Virenscanner oder Virenschutz-Programm (Abkürzung: AV) ist eine Software, die Schadprogramme wie z. B. Computerviren, Computerwürmer oder Trojanische Pferde aufspüren, blockieren und gegebenenfalls beseitigen soll.

Die meisten der Computerviren, die Anfang und Mitte der 1980er Jahre geschrieben wurden, waren auf reine Selbstreproduktion beschränkt und verfügten oft nicht unbedingt über eine spezifische Schadfunktion. Erst als die Technik der Virenprogrammierung breiteren Kreisen bekannt wurde, tauchten zunehmend Schadprogramme auf, die gezielt Daten auf infizierten Rechnern manipulierten oder zerstörten. Damit war die Notwendigkeit gegeben, sich um die Bekämpfung dieser schädlichen Programme durch spezielle Antivirenprogramme Gedanken zu machen.[1]

Es gibt konkurrierende Ansprüche, wer der Erfinder des ersten Antivirenprogrammes ist. Das erste Programm zur Bekämpfung des Wurms Creeper im ARPA-Net wurde bereits 1971 entwickelt. Die wahrscheinlich erste öffentlich dokumentierte Entfernung eines Computervirus mit einem Tool wurde von Bernd Fix im Jahr 1987 durchgeführt.[2][3] Fred Cohen, der schon 1984 durch seine Arbeiten das Thema „Computerviren“ öffentlich gemacht hatte,[4] entwickelte ab 1988 Strategien zur Virenbekämpfung,[5] die von späteren Antivirenprogrammierern aufgegriffen und fortgeführt wurden.

Ebenfalls 1988 entstand im BITNET/EARN-Rechnerverbund eine Mailingliste namens VIRUS-L,[6] in der vor allem über das Auftauchen neuer Viren sowie die Möglichkeiten zur Virenbekämpfung diskutiert wurde. Einige Teilnehmer dieser Liste wie zum Beispiel John McAfee oder Eugene Kaspersky gründeten in der Folge Unternehmen, die kommerzielle Antivirenprogramme entwickelten und anboten. Vier Jahre zuvor, 1984, war schon Arcen Data (heute Norman ASA) gegründet worden, das sich Ende der 1980er Jahre, mit dem Auftauchen der ersten Computerviren in Norwegen, ebenfalls auf Antivirenprogramme spezialisierte.[7] Im Jahr 1987 stellte das Unternehmen G DATA Software das weltweit erste kommerzielle Virenschutzprogramm vor, welches speziell für den Atari ST entwickelt worden ist.[8] Bevor eine Internet-Anbindung üblich wurde, verbreiteten sich Viren typischerweise über Disketten. Antivirenprogramme wurden zwar manchmal verwendet, aber nur unregelmäßig auf einen aktuellen Stand nachgeführt. Während dieser Zeit prüften Antivirenprogramme nur ausführbare Programme sowie die Boot-Sektoren auf Disketten und Festplatten. Mit der Verbreitung des Internets begannen Viren auf diesem Weg, neue Rechner zu infizieren und damit eine allgemeinere Gefahr darzustellen.[9]

Mit der Zeit wurde es für Antivirenprogramme immer wichtiger, verschiedene Dateitypen (und nicht nur ausführbare Programme) auf verborgene Viren zu untersuchen. Dies hatte unterschiedliche Gründe:

Die Verwendung von Makros in Textverarbeitungs-Programmen wie Microsoft Word stellten ein zusätzliches Viren-Risiko dar. Virenprogrammierer begannen, Viren als Makros in Dokumente einzubetten. Dies bedeutete, dass Computer allein dadurch infiziert werden konnten, dass ein eingebettetes Makrovirus in einem Dokument ausgeführt wurde. [10]

Spätere E-Mail-Programme, insbesondere Microsoft Outlook Express und Outlook, waren verwundbar für Viren, die in E-Mails eingebunden waren. Dadurch konnte ein Rechner infiziert werden, indem eine E-Mail geöffnet und angesehen wurde.

Mit der steigenden Anzahl vorhandener Viren wurde auch die häufige Aktualisierung der Antivirenprogramme notwendig. Aber selbst unter diesen Umständen konnte sich ein neuartiger Virus innerhalb kurzer Zeit stark verbreiten, bevor die Hersteller von Antivirenprogrammen darauf mit einer Aktualisierung reagieren konnten.[11]

Typen von Antivirenprogrammen [ Bearbeiten | Quelltext bearbeiten ]

Der Echtzeitscanner (englisch on-access scanner, real-time protection, background guard), auch Zugriffsscanner oder residenter Scanner genannt, ist im Hintergrund als Systemdienst (Windows) oder Daemon (Unix) aktiv und scannt alle Dateien, Programme, den Arbeitsspeicher und evtl. den HTTP- wie den FTP-Verkehr. Um dies zu erreichen, werden so genannte Filtertreiber vom Antivirenprogramm installiert, die die Schnittstelle zwischen dem Echtzeitscanner und dem Dateisystem bereitstellen. Findet der Echtzeitscanner etwas Verdächtiges, fragt er in der Regel den Benutzer nach dem weiteren Vorgehen. Dies ist das Blockieren des Zugriffs, das Löschen der Datei, das Verschieben in die Quarantäne oder, wenn möglich, ein Reparaturversuch. Generell kann beim Echtzeitschutz zwischen zwei Strategien unterschieden werden:

Scannen beim Öffnen von Dateien (Lesevorgang) Scannen beim Erstellen / Ändern von Dateien (Schreibvorgang)

Es kann der Fall eintreten, dass eine virulente Datei gespeichert wurde, bevor eine Virensignatur für sie verfügbar war. Nach einem Signatur-Update ist es aber möglich, sie beim Öffnen zu erkennen. In diesem Fall ist also ein Scannvorgang beim Öffnen der Datei dem Scanvorgang beim Schreiben der Datei überlegen. Um die Belastung durch den Echtzeitscanner zu verringern, werden oft einige Dateiformate, komprimierte Dateien (Archive) oder Ähnliches nur zum Teil oder gar nicht gescannt.

Manueller Scanner [ Bearbeiten | Quelltext bearbeiten ]

Der manuelle Scanner (englisch on-demand scanner), auch als Dateiscanner bezeichnet, muss vom Benutzer manuell oder zeitgesteuert gestartet werden (On-Demand). Findet ein Scanner schädliche Software, erscheint eine Warnmeldung und in der Regel auch eine Abfrage der gewünschten Aktion: Reinigung, Quarantäne oder Löschung der befallenen Datei(en).

Als Online-Virenscanner werden Antivirenprogramme bezeichnet, die ihren Programmcode und die Viren-Muster über ein Netzwerk (online) laden. Sie arbeiten im Gegensatz zu fest installierten Virenscannern nur im On-Demand-Modus. Das heißt, der persistente Schutz durch einen On-Access-Modus ist nicht gewährleistet. Oft werden Online-Virenscanner auch als sogenannte Second-Opinion-Scanner benutzt, um sich zusätzlich zum installierten Virenscanner eine „zweite Meinung“ zu eventuellem Befall einzuholen.

Weiterhin gibt es Webseiten, die es ermöglichen, einzelne Dateien mit verschiedenen Virenscannern zu prüfen. Für diese Art des Scans muss der Benutzer selbst aktiv die Datei hochladen, es ist also eine Spezialform des On-Demand-Scan.

Sonstige Scanner [ Bearbeiten | Quelltext bearbeiten ]

Neben dem Echtzeit- und dem manuellen Scanner gibt es noch eine Reihe weiterer Scanner.

Die meisten davon arbeiten, indem sie den Netzwerkverkehr analysieren. Dazu scannen sie den Datenstrom und führen bei einer Auffälligkeit eine definierte Operation aus, wie etwa das Sperren des Datenverkehrs.

Eine andere Lösung ist der Einsatz von Proxysoftware. Manche Proxys erlauben das Anbinden von Antivirensoftware. Wird eine Datei so heruntergeladen, wird diese zunächst am Proxy untersucht und geprüft, ob sie verseucht ist. Je nach Ergebnis wird sie dann an den Client ausgeliefert oder gesperrt. Ein deutlicher Nachteil besteht jedoch in der Tatsache, dass dies bei einer End-zu-End-Verschlüsselung quasi wirkungslos ist. Eine Variante dieser Proxy-Virusfilter sind Mail-Relay-Server mit Antivirus-Software, teilweise als Online-Virusfilter bezeichnet (vgl. aber oben). Dabei werden E-Mails zunächst auf den Relay-Server geleitet, dort gescannt und abgewiesen, unter Quarantäne gestellt oder gesäubert und dann auf den Mailserver des Empfängers weitergeleitet.

Funktionsweise und Erfolgswahrscheinlichkeit [ Bearbeiten | Quelltext bearbeiten ]

gute Belege einfügst.

(Mai 2017) Zahlreiche Abschnitte wie "Scanengines", "Heuristik" und "Verhaltensanalyse" sind komplett frei von Belegen und auch die übrigen Abschnitte sind nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen ) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und

Virenscanner können prinzipiell nur bekannte Schadprogramme (Viren, Würmer, Trojaner etc.) bzw. Schadlogiken (englisch Evil Intelligence) erkennen und somit nicht vor allen Viren und Würmern schützen. Daher können Virenscanner generell nur als Ergänzung zu allgemeinen Vorsichtsmaßnahmen betrachtet werden, die Vorsicht und aufmerksames Handeln bei der Internetnutzung nicht entbehrlich macht. So fand die Stiftung Warentest bei einem „internationalen Gemeinschaftstest“[12][13] von 18 Antivirusprogrammen Anfang 2012 mit 1.800 eingesetzten „aktuellen“ Schädlingen Werte von 36 % bis 96 % aufgespürten Signaturen.[14] Symantec-Vizechef Brian Dye gestand gegenüber dem Wall Street Journal ein, dass Antivirensoftware nur etwa 45 % aller Angriffe erkenne.[15]

Grundsätzlich kann bei der Erkennung zwischen zwei Techniken unterschieden werden. Auf Grund der Vor- und Nachteile werden bei aktuellen Virenscannern beide Techniken eingesetzt, um die Schwächen der jeweils anderen auszugleichen.

Reaktiv: Bei dieser Art der Erkennung wird ein Schädling erst erkannt, wenn eine entsprechende Signatur (oder bekannter Hash-Wert in der Cloud) seitens des Herstellers der Antivirensoftware zur Verfügung gestellt wurde. Dies ist die klassische Art der Virenerkennung, welche von praktisch jeder Antivirensoftware verwendet wird. Vorteil: Eine Signatur kann innerhalb kurzer Zeit erstellt werden und bildet daher immer noch das Rückgrat eines jeden Scanners (bei Onlineverbindungen zusätzlich Cloud-basierte Erkennung) Nachteil: Ohne aktualisierte Signaturen werden keine neuen Schadprogramme erkannt.

Proaktiv: Dies bezeichnet die Erkennung von Malware, ohne dass eine entsprechende Signatur zur Verfügung steht. Aufgrund der rapiden Zunahme neuer Schadprogramme werden solche Techniken immer wichtiger. Proaktive Verfahren sind etwa die Heuristik, Verhaltensanalyse oder die SandBox-Techniken. Vorteil: Erkennung noch unbekannter Schadprogramme. Nachteil: Die komplexe Technik bedarf hoher Entwicklungskosten und langer Entwicklungszyklen. Proaktive Techniken haben prinzipbedingt gegenüber reaktiven eine höhere Fehlalarmquote.

Unter einer Scanengine versteht man den Programmteil eines Virenscanners, der für die Untersuchung eines Computers oder Netzwerkes auf Schadprogramme verantwortlich ist. Eine Scanengine ist somit unmittelbar für die Effizienz von Antivirensoftware verantwortlich. Für gewöhnlich sind Scanengines Softwaremodule, die unabhängig vom Rest eines Virenscanners aktualisiert und eingesetzt werden können. Es gibt Antivirensoftware, welche neben der eigenen Scanengine auch lizenzierte Scanengines anderer AV-Hersteller einsetzt. Durch den Einsatz mehrerer Scanengines kann zwar die Erkennungsrate theoretisch gesteigert werden, jedoch führt dies immer zu drastischen Performance-Verlusten. Es bleibt daher fragwürdig, ob sich Virenscanner mit mehreren Scanengines als sinnvoll erweisen. Das hängt vom Sicherheitsanspruch oder dem Anspruch an Systemperformance ab und muss von Fall zu Fall entschieden werden.

Die Leistungsfähigkeit eines signaturbasierten Antivirenscanners bei der Erkennung von schädlichen Dateien hängt nicht nur von den verwendeten Virensignaturen ab. Oftmals werden die ausführbaren Dateien vor ihrer Verbreitung so gepackt, dass sie sich später selbst entpacken können (Laufzeitkomprimierung). So kann ein eigentlich bekannter Virus der Erkennung durch manche Scanner entgehen, weil sie nicht in der Lage sind, den Inhalt des laufzeitkomprimierten Archives zu untersuchen. Bei diesen Scannern kann nur das Archiv als solches in die Signaturen aufgenommen werden. Wird das Archiv neu gepackt (ohne den Inhalt zu ändern), müsste dieses Archiv ebenfalls in die Signaturen aufgenommen werden. Ein Scanner mit der Fähigkeit, möglichst viele Formate entpacken zu können, ist hier im Vorteil, weil er den Inhalt der Archive untersucht. Somit sagt auch die Anzahl der verwendeten Signaturen noch nichts über die Erkennungsleistung aus.

Eine Engine beinhaltet mehrere Module, die je nach Hersteller unterschiedlich implementiert und integriert sind und miteinander interagieren:

Dateiformat-Analyse (wie Programme (PE, ELF), Scripte (VBS, JavaScript), Datendateien (PDF, GIF))

Pattern-Matcher (Mustererkennung) für die klassischen Signaturen

Entpack-Routinen für laufzeitkomprimierte Programme und Verschlüsselungsroutinen (so etwa UPX, Aspack, Y0daCrypt) Archive (so ZIP, RAR, 7z, UUE/Base64) Mailbox-Formate (so mbox, .dbx, MIME)

Code-Emulation (vergleichbar mit einer Art Mini-Sandbox oder es greift eine Sandbox darauf zurück, nützlich für generische Erkennung oder bei polymorphen Schadprogrammen)

oder es greift eine Sandbox darauf zurück, nützlich für generische Erkennung oder bei polymorphen Schadprogrammen) Heuristik für unterschiedliche Typen (PE, Scripte, Makros)

diverse Filter (in ELF-Dateien muss nicht nach PE-Signaturen gesucht werden oder per Zugriffsschutz geblockte Dateien – entweder vordefinierte Regeln oder selbst konfiguriert)

Weiters oder vorrangig beim Echtzeitschutz eingesetzt:

Verhaltensanalyse

Cloud-Technik

Sandbox

Einige Virenscanner verfügen über die Möglichkeit, auch nach allgemeinen Merkmalen zu suchen (Heuristik),[13] um unbekannte Viren zu erkennen, oder sie bringen ein rudimentäres Intrusion Detection System (IDS) mit. Die Wichtigkeit dieser – präventiven – Art der Erkennung nimmt stetig zu, da die Zeiträume, in denen neue Viren und Varianten eines Virus in Umlauf gebracht werden (auf den Markt drängen), immer kürzer werden. Für die Antivirenhersteller wird es somit immer aufwändiger und schwieriger, alle Schädlinge zeitnah durch eine entsprechende Signatur zu erkennen. Heuristika sollten nur als Zusatzfunktion des Virenscanners angesehen werden. Die tatsächliche Erkennung noch unbekannter Schadprogramme ist eher gering, da die Schadprogramm-Autoren meistens ihre „Werke“ mit den bekanntesten Scannern testen und sie so ändern, dass sie nicht mehr erkannt werden.

Um die Erkennung von unbekannten Viren und Würmern zu erhöhen, wurde von dem norwegischen Antivirenhersteller Norman im Jahr 2001 eine neue Technik vorgestellt, bei der die Programme in einer gesicherten Umgebung, der Sandbox, ausgeführt werden. Dieses System funktioniert, vereinfacht ausgedrückt, wie ein Computer im Computer. In dieser Umgebung wird die Datei ausgeführt und analysiert, welche Aktionen sie ausführt. Bei Bedarf kann die Sandbox auch Netzwerkfunktionalitäten, etwa eines Mail- oder IRC-Servers, bereitstellen. Die Sandbox erwartet bei der Ausführung der Datei eine für diese Datei typische Verhaltensweise. Weicht die Datei von dieser zu einem gewissen Grad ab, klassifiziert die Sandbox diese als potentielle Gefahr. Dabei kann sie folgende Gefährdungen unterscheiden:

Als Ergebnis liefert sie zudem eine Ausgabe, die zeigt, welche Aktionen die Datei auf dem System ausgeführt hätte und welcher Schaden angerichtet worden wäre. Diese Information kann aber auch nützlich sein, um eine Bereinigung eines infizierten Computersystems vorzunehmen. Durch die Technik der Sandbox konnten nach Tests von AV-Test[16] 39 % noch unbekannter Viren und Würmer erkannt werden, bevor eine Signatur bereitstand. Im Vergleich zu einer herkömmlichen Heuristik ist dies ein wirklicher Fortschritt in proaktiver Erkennung. Nachteil der Sandbox-Technik ist, dass sie durch die Code-Emulation recht ressourcen-intensiv und langsamer als klassisches Signaturenscannen ist. Daher wird sie primär in den Labors der Antiviren-Hersteller verwendet, um die Analyse- und damit die Reaktionszeit zu verbessern.

Ähnlich wie bei Online-Scannern stellen verschiedene Anbieter Web-Oberflächen ihrer Sandboxen zur Analyse einzelner verdächtiger Dateien zur Verfügung (normalerweise Basisfunktionen kostenlos, erweiterte Funktionen gegen Entgelt).[17][18][19][20][21][22][23][24]

Die Verhaltensanalyse (englisch Behavior Analysis/Blocking, oft auch als Hostbased Intrusion Detection System bezeichnet, vgl. NIDS) soll ähnlich wie SandBox und Heuristik anhand von typischen Verhaltensweisen Schadprogramme erkennen und blockieren. Allerdings wird die Verhaltensanalyse nur bei der Echtzeitüberwachung eingesetzt, da dabei die Aktionen eines Programms – im Gegensatz zur Sandbox – auf dem echten Computer mitverfolgt werden, und kann vor Überschreiten einer Reizschwelle (Summe der verdächtigen Aktionen) oder bei Verstößen gegen bestimmte Regeln, vor offensichtlich destruktiven Aktionen (Festplatte formatieren, Systemdateien löschen) einschreiten. Bei der Verhaltensanalyse wird oft mit Statistik (Bayes Spamfilter), neuronalen Netzwerken, genetischen Algorithmen oder anderen „trainierbaren/lernfähigen“ Algorithmen gearbeitet.

Nachträgliche Erkennung [ Bearbeiten | Quelltext bearbeiten ]

Einen neuartigen Ansatz verfolgt der Münchner IT-Dienstleister Retarus mit seiner Lösung Patient Zero Detection. Diese bildet Hash-Werte über alle Anhänge von E-Mails, die über die Infrastruktur des IT-Dienstleisters ankommen, und schreibt sie in eine Datenbank. Wird zu einem späteren Zeitpunkt ein identischer Anhang von einem Scanner als virenverseucht aussortiert, können die zuvor bereits mit dem Schadcode zugestellten Nachrichten anhand der Prüfsumme nachträglich identifiziert und dann Administrator und Empfänger umgehend benachrichtigt werden. Wurden die infizierten Mails noch nicht geöffnet, lassen sie sich ungelesen löschen; in jedem Fall wird die IT-Forensik erleichtert[25].

Der prinzipielle Unterschied der Cloud-Technik (dt. ‚Wolke‘) zu „normalen“ Scannern ist, dass die Signaturen „in der Cloud“ (auf den Servern der Hersteller) liegen und nicht auf der lokalen Festplatte des eigenen Computers oder auch in der Art der Signaturen (Hash-Werte statt klassischer Virensignaturen wie Bytefolge ABCD an Position 123). Die Signaturen werden nicht bei allen Produkten lokal zwischengespeichert,[26] so dass ohne Internetverbindung nur eine reduzierte oder keine Erkennungsleistung verfügbar ist. Manche Hersteller bieten für Unternehmen eine Art „Cloud Proxy“ an, der Hash-Werte lokal zwischenpuffert. Ein großer Vorteil der Cloud-Technik ist die Reaktion nahezu in Echtzeit. Die Hersteller verfolgen unterschiedliche Ansätze. Bekannt sind die Programme Panda Cloud Antivirus[27] (arbeitet inzwischen mit einem lokalen Cache[28]), McAfee Global Threat Intelligence – GTI (früher Artemis),[29] F-Secure Realtime Protection Network,[30] Microsoft Morro SpyNet[31] und Immunet ClamAV für Windows[32] sowie Symantec mit Nortons SONAR 3 und das Kaspersky Security Network.[33]

Die Mehrheit der Hersteller übertragen lediglich Hash-Werte. Das heißt, wenn sich die Datei eines (Schad)programms nur um 1 Bit ändert, wird es nicht mehr erkannt. Bis dato ist nicht bekannt (wobei es aber anzunehmen ist), ob Hersteller ebenfalls „unscharfe“ Hashes (z. B. ssdeep[34]) einsetzen, die eine gewisse Toleranz erlauben. Es werden Fehlerkennungen minimiert, da die White- und Blacklists bei den Herstellern ständig mit neuen Hash-Werten von Dateien aktualisiert werden. Ressourceneinsparung: Bereits analysierte Dateien werden nicht mehr erneut aufwendig in einen Emulator oder Sandbox beim Endbenutzer am Computer analysiert. Statistische Auswertung der Ergebnisse beim Hersteller: Von Symantec ist bekannt, dass Hash-Werte von neuen, unbekannten und wenig verbreiteten Dateien als verdächtig eingestuft werden. Unrühmliche Bekanntheit hat diese Funktion unter anderem bei Firefox-Aktualisierungen erlangt.[35]

Automatische Aktualisierung [ Bearbeiten | Quelltext bearbeiten ]

Die sogenannte Auto-, Internet- oder auch Live-Updatefunktion, mit der automatisch beim Hersteller aktuelle Virensignaturen heruntergeladen werden, ist bei Virenscannern von besonderer Bedeutung. Wenn sie aktiviert ist, wird der Benutzer regelmäßig daran erinnert, nach aktuellen Updates zu suchen, oder die Software sucht selbstständig danach. Es empfiehlt sich, diese Option zu nutzen, um sicherzugehen, dass das Programm wirklich auf dem aktuellen Stand ist.

Probleme mit Virenscannern [ Bearbeiten | Quelltext bearbeiten ]

Da Virenscanner sehr tief ins System eingreifen, kommt es bei einigen Anwendungen zu Problemen, wenn sie gescannt werden. Zumeist kommen diese Probleme beim Echtzeitscan zum Tragen. Um Komplikationen mit diesen Anwendungen zu verhindern, erlauben die meisten Virenscanner das Führen einer Ausschlussliste, in der definiert werden kann, welche Daten nicht vom Echtzeitscanner überwacht werden sollen. Häufige Probleme treten auf mit:

Zeitkritischen Anwendungen: Da die Daten immer erst gescannt werden, entsteht eine gewisse Verzögerung. Für einige Applikationen ist diese zu groß und sie erzeugen Fehlermeldungen oder Funktionsstörungen. Besonders häufig tritt dieses Verhalten auf, wenn auf Daten über eine Netzwerkfreigabe zugegriffen wird und an diesem entfernten Rechner ebenfalls eine Antivirensoftware läuft.

Datenbanken (jeglicher Art): Da auf Datenbanken für gewöhnlich ein ständiger Zugriff stattfindet und sie oftmals sehr groß sind, versucht der Echtzeitscanner, diese dauerhaft zu scannen. Dies kann zu Timeout-Problemen, ansteigender Systemlast, Beschädigungen der Datenbank bis hin zum völligen Stillstand des jeweiligen Computersystems führen.

Mailserver: Viele Mailserver speichern E-Mails MIME- oder ähnlich codiert auf der Festplatte ab. Viele Echtzeitscanner können diese Dateien decodieren und Viren entfernen. Da der E-Mailserver jedoch von dieser Entfernung nichts wissen kann, „vermisst“ er diese Datei, was ebenfalls zu Funktionsstörungen führen kann.

Parsing: Weil Antivirensoftware viele verschiedene, teils unbekannte Dateiformate mit Hilfe eines Parsers untersucht, kann sie selbst zum Ziel von Angreifern werden. [36] [37]

Häufig erlauben es Virenscanner nicht, noch einen zweiten Virenscanner parallel auszuführen.

False Positives, also Fehlalarme, die bei einigen Virenscannern zu einer automatischen Löschung, Umbenennung etc. führen und teilweise nur sehr schwer abzustellen sind. Nach einer Rückumbenennung „erkennt“ das Programm erneut diese Datei und benennt sie wieder um.

Kritik an Virenscannern [ Bearbeiten | Quelltext bearbeiten ]

Die Zuverlässigkeit und Wirksamkeit von Virenscannern wird oft angezweifelt. So vertrauen nach einer Umfrage aus dem Jahr 2009 drei Viertel der befragten Systemadministratoren (Admins) oder Netzwerkbetreuer den Virenscannern nicht. Hauptgrund sei die tägliche Flut neuester unterschiedlichster Varianten von Schädlingen, die das Erstellen und Verteilen von Signaturen immer unpraktikabler machten. 40 Prozent der befragten Administratoren hatten bereits darüber nachgedacht, die Virenscanner zu entfernen, weil diese die Performance des Systems negativ beeinflussen. Vielfach werden Virenscanner eingesetzt, weil die Unternehmensrichtlinien dieses forderten, so die Umfrage.[38] Diese Studie wurde allerdings von einem Unternehmen in Auftrag gegeben, das eine konkurrierende Software vertrieb, die anhand von Positivlisten das Ausführen von Programmen erlaubt. Dieser „Whitelisting“-Ansatz hat je nach Einsatzgebiet ebenso Vor- und Nachteile.[39][40] Im Jahr 2008 sagte Eva Chen, CEO von Trend Micro, dass die Hersteller von Antivirenprogrammen die Wirksamkeit ihrer Produkte seit 20 Jahren übertrieben und ihre Kunden damit angelogen hätten. Sinngemäß: Kein Antivirusprogramm könne alle Viren blockieren, dafür gäbe es zu viele.[41]

Eine Sicherheitsstudie ergab 2014, dass nahezu alle untersuchten Antivirenprogramme verschiedenste Fehler aufweisen und damit teilweise die Systeme, auf denen sie installiert sind, angreifbar machen.[42][43]

Das BSI fasst die grundlegende Problematik des Einsatzes von Virenscannern wie folgt zusammen:

„Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT -Infrastruktur.“[44]

Überprüfen der Konfiguration des Virenscanners [ Bearbeiten | Quelltext bearbeiten ]

Die Funktion des Virenscanners kann nach der Installation und nach größeren Systemupdates überprüft werden. Damit kein „echter“ Virus zum Test der Virenscanner-Konfiguration verwendet werden muss, hat das European Institute of Computer Anti-virus Research in Verbindung mit den Virenscanner-Herstellern die sogenannte EICAR-Testdatei entwickelt. Sie ist kein Virus, wird aber von jedem namhaften Virenscanner als Virus erkannt. Mit dieser Datei kann getestet werden, ob das Antivirenprogramm korrekt eingerichtet ist und ob alle Arbeitsschritte des Virenscanners tadellos arbeiten.

Antivirensoftware gibt es kostenlos oder als kostenpflichtige Angebote. Häufig bieten kommerzielle Hersteller auch kostenlose Versionen mit abgespecktem Funktionsumfang an.[45] Die Stiftung Warentest kam im Frühjahr 2017 zum Ergebnis, dass es guten Schutz mittels Sicherheitssoftware auch kostenlos gibt.[46] Die folgende Tabelle gibt nur einen kleinen Überblick über ein paar relevante Hersteller, Produkte und Marken.

Kostenlose oder bezahlte Antiviren-Software? Wo ist der Unterschied?

Sie sind neugierig, wo der Unterschied zwischen kostenloser und bezahlter Antiviren-Software für Windows liegt?

In diesem Artikel lernen Sie die Unterschiede zwischen beiden Antiviren-Lösungen kennen und können somit entscheiden, was das Beste für Sie ist.

Die folgenden Themen geben Aufklärung:

Die Hauptunterschiede zwischen kostenloser und bezahlter Antiviren-Software.

Die Auswahl der besten kostenlosen Antiviren-Software.

Passende Varianten des kostenlosen Antiviren-Schutzes für PC und Mac.

Die Vorteile von bezahltem Antiviren-Schutz.

Die Risiken in der Verwendung kostenloser Antiviren-Software.

Kostenlose gegen bezahlte Antiviren-Software

Kostenlose Antiviren-Software wie Kaspersky Free Anti-virus for Windows bietet einen Basisschutz für Ihren Computer. Er hilft Ihnen dabei, Ihren PC vor bekannten Viren zu schützen, blockiert bösartige Dateien und Apps und warnt Sie beim Aufrufen verdächtiger Webseiten.

Die Technologien, die kostenlose Antiviren-Tools verwenden, können sehr stark variieren. Unser Programm nutzt unsere preisgekrönte Sicherheitstechnologie, die Informationen über neue Bedrohungen automatisch und in Echtzeit erhält. Das hilft Ihnen dabei, Ihren Computer vor einer Reihe von Bedrohungen zu schützen.

Im Gegensatz dazu bieten Ihnen bezahlte Antiviren-Lösungen einen umfassenderen Schutz für Ihren Computer.

Die einzelnen Vorteile verschiedener Lösungen unterscheiden sich, aber eine seriöse Antiviren-Lösung sollte bösartige Angriffe zuverlässig abwehren können. Betrachten Sie bezahlte Antiviren-Software als eine proaktive und nicht nur reaktive Möglichkeit, Ihren Computer zu schützen.

Bezahlte Antiviren-Software sollte ebenfalls das Verhalten verdächtiger und gefährlicher Apps und Malware überwachen, um einer drohenden Infektion vorzubeugen, bevor sie eintritt.

Welche kostenlose Antiviren-Software ist die Beste?

Um zu unterscheiden, welche kostenlose Antiviren-Software die Beste für Sie ist, empfehlen wir Ihnen, sich die Funktionen und Vorteile der verfügbaren Varianten anzuschauen.

Einige Lösungen bieten einen hohen Funktionsumfang, aber wenig Nutzerfreundlichkeit. Andere wiederum bieten klare und verständliche Nutzeroberflächen, aber haben weniger Funktionen.

Unsere Lösung bietet Ihnen das Beste aus beiden Welten: Mit unserer kostenlosen Antiviren-Software bekommen Sie alle grundlegenden Funktionen für einen sicheren Online-Schutz in Verbindung mit einer nutzerfreundlichen Menüführung.

Das Lesen von Online-Bewertungen und Anschauen von Videos, die Ihnen erklären, wie man eine kostenlose Antiviren-Software benutzt, helfen Ihnen dabei, die beste Lösung für Ihre Bedürfnisse zu finden. Einige Anbieter erlauben es auch, deren kostenpflichtige Produktversion kostenlos zu testen, sodass Sie prüfen können, ob das Produkt zu Ihnen passt.

Welche Antiviren-Software passt zu Ihrem Computertyp?

Sind Sie ein Mac-Nutzer oder haben Sie einen PC? Da PC und Mac auf unterschiedliche Weise funktionieren, ist es wichtig, eine Antiviren-Software zu nutzen, die zu Ihrem Computertyp passt.

Macs sagt man nach, dass sie aufgrund der Funktionsweise des Betriebssystems weniger angreifbar sind. Das System verwendet für Prozesse sogenannte „Sandboxes“, was es Viren schwermacht, in fremde Bereiche einzudringen. Es gibt weniger Kommunikation zwischen den einzelnen Programmen, sodass sich Viren nur schwer ausbreiten können.

Aus diesem Grund geraten Macs im Gegensatz zu Windows-PCs eher selten in den Fokus von Hackern. Trotzdem können sich Macs infizieren. Um Infektionen zu vermeiden ist es ratsam, Ihren Mac durch eine kostenlose oder bezahlte Antiviren-Software zu schützen.

In der Regel werden Windows-PCs häufiger angegriffen als Macs, was deren Infektionsrisiko erhöht. Aus diesem Grund sollten Sie für PCs eine bezahlte Antiviren-Variante in Betracht ziehen. Dadurch profitieren Sie und Ihr PC vom höchstmöglichen Schutzlevel.

Kostenlose Antiviren-Software für Windows-PCs

Es existieren zahlreiche kostenlose Antiviren-Programme. Welches sollten Sie also wählen?

Es ist wichtig, dass Sie sich darüber informieren. Wir empfehlen das Lesen unabhängiger Bewertungen und das Schauen von Erklärvideos, um herauszufinden, welche Variante Sie nutzen sollten. Beispielsweise veröffentlichen die Computer Magazine PC-Welt und PC Magazin unabhängige Tests und nehmen dort auch Gratis-Programme mit auf.

Schauen Sie auch, ob der Anbieter Ihrer Wahl es Ihnen erlaubt, deren kostenpflichtige Produktversion für einige Tage zu testen. Auf diese Weise können Sie das Programm ausprobieren und erfahren, ob es auf Ihrem Gerät funktioniert und ob es gut darin ist, Malware zu identifizieren und zu desinfizieren.

Kostenlose Antiviren-Software für Mac

Es existieren zahlreiche kostenlose Antiviren-Programme für Macs. Die englischsprachige Website Tech Radar bewertet jährlich die besten Antiviren-Programme für Macs und ist einen Blick wert, wenn Sie Ihre Mac-Geräte schützen möchten.

Die Vorteile von kostenpflichtiger Antiviren-Software

Warum für eine Antiviren-Software zahlen, wenn so viele kostenlosen Varianten zur Verfügung stehen? Abgesehen von der Kaufsumme bieten kostenpflichte Antivirus-Programme eine Vielzahl an Vorteilen.

Kostenlose Antivirus-Lösungen bieten einen Basisschutz gegen bekannte Viren, während eine bezahlte Antivirus-Software einen erweiterten Schutz bietet. So verwendet z. B. Kaspersky Internet Security eine Komponente zur Systemkontrolle, die es erlaubt, noch unbekannte Malware und Viren aufzuspüren.

Kostenpflichtige Antivirus-Lösungen tendieren dazu, all Ihre Geräte zu schützen (PC, Mac und Smartphone), während kostenlose Varianten eher gerätespezifisch sind.

Weiterhin bieten kostenpflichtige Antivirus-Varianten eine größere Kontrolle über Ihre privaten Daten und erhöhten Schutz für sensible Onlineaktivitäten wie Banking. Zusätzlich bieten viele kostenpflichtige Lösungen einen erweiterten Funktionsumfang, z. B. Werkzeuge gegen Spam, eine Firewall und Tools zur Onlinesicherheit von Kindern. Außerdem erlauben Bezahl-Lösungen das sichere Speichern von Passwörtern, um wertvolle Daten wie Fotos und Musik zu schützen.

Die Funktionen kostenpflichtiger Antiviren-Programme unterscheiden sich natürlich je nach Anbieter. Alle oben genannten Vorteile können Sie mit Kaspersky Internet Security genießen.

Die Risiken kostenloser Antiviren-Software

Kostenlose Antivirus-Lösungen schützen Sie gegen bereits bekannte Computerviren. Bei Angriffen von noch unbekannten Bedrohungen könnten Sie allerdings verwundbar sein.

Wenn Sie Kaspersky Free Anti-virus for Windows nutzen, profitieren Sie von dem gleichen Antivirus-Schutz wie unsere kostenpflichtigen Produkte. Davon abgesehen besitzen unsere Bezahl-Produkte weitere Sicherheitsfeatures, um zusätzlich Angriffen von unbekannten und neuen Arten von Malware entgegenzuwirken.

Sie sollten sich auch im Klaren darüber sein, dass Sie mit kostenlosen Antivirus-Lösungen bei Online-Zahlungen weniger geschützt sind. Kaspersky Internet Security bietet ein Sicherheitssystem für Online-Zahlungen an, dass Ihnen ein ruhiges Gewissen gibt, wenn es um die Sicherheit Ihres Geldes geht.

Ein weiterer Nachteil der kostenlosen Antiviren-Software ist, dass Sie keinen technischen Support bekommen. Im Gegensatz dazu bieten Ihnen kostenpflichtige Optionen Zugang zum technischen Support per Telefon, Sofortnachrichten oder E-Mail.

Sie verdienen den besten Schutz. Erfahren Sie mehr über Kaspersky Internet Security.

Antivirus

Warum sollte man ein Antiviren Programm kaufen

Ein Antiviren Programm schützt Ihren PC und Laptop / Notebook vor bekannter, wie auch unbekannter Schadsoftware aus dem Internet wie Viren, Trojaner, Würmer, Spyware, Malware und mehr. Bitte beachten Sie, dass nicht nur Microsoft Betriebssysteme Schutzprogramme benötigen. Wir empfehlen Ihnen auch Ihr Smartphone und auch Mac OSX zu schützen.

Warum sollte ich eine Antiviren Software kaufen wenn ich sie doch kostenlos bekommen kann?

Kostenfreie Antiviren Programme gibt es "wie Sand am Meer" und nicht jedes ist gleich. Die Effektivität der Software sollte bei Ihrer Wahl eine entscheidene Rolle spielen. Bei kostenloser Antiviren Software wird in der Regel, nur ein Update der Virendefinition am Tag vorgenommen. Damit haben sie einen langen Zeitraum, in dem sie nicht optimal geschützt sind. Die schlechtere Erkennung von Viren oder anderen Schädlingen, wurden bei zahlreichen Tests bemängelt. Ein weiterer Nachteil ist die andauernde Werbung bei den kostenlosen Varianten. Kostenpflichtige Antivirenprogramme bieten wesentlich mehr Funktionen, wie z.B. die Backup Funktion um ihr System im Fall einer Infizierung wieder in den ursprünglichen Zustand zurück zu versetzen. Dies alles sollten Gründe sein, warum sie sich für eine kostenpflichtige Antivirensoftware entscheiden sollten.

Schützen Sie jetzt Ihr Betriebssystem, wie zum Beispiel Windows 7 oder Windows 10 vor Schädlingen aus dem Internet.

Doch welcher Virus Scanner ist die beste Antivirus Software? Diese Frage lässt sich leider nur schwer beantworten. Jede Software hat Vor- und Nachteile. Zusätzlich erweitert sich der Funktionsumfang jedes Jahr weiter. Sie müssen entscheiden welche Funktionen Sie bevorzugen.

Benötigt man für einen Mac Antivirus Software?

Ja - Schützten Sie auch Ihren Mac vor den Bedrohungen aus dem Internet, Ihre Privatsphäre, Ihre digitale Identität und die Ihre kompletten Daten. Apple verbessert zwar kontinuierlich die Sicherheit Ihrer Software, doch Hacker finden auch auf Mac Geräten immer wieder Lücken. Sie schützen nicht nur Ihre eigenen Geräte, sondern verhindern auch die Verbreitung von Schädlingen im Internet.

Download Antivirus Software

Wenn Sie sofortigen Schutz benötigen, bieten wir Ihnen auch eine große Auswahl an Antiviren Programme zum sofortigen Download an. Sie erhalten kurz nach Zahlungseingang eine e-Mail mit allen notwendigen Informationen.

Die norwegische Firma Norman hat 2001 eine neue und revolutionäre Technik entwickelt. Mit dem speziellen Sandbox verfahren, wird ein sicherer Bereich auf dem Computer geschaffen um die Erkennung von Viren und Trojanern zu erhöhen. Diese Technik hat alle bis dahin bekannten Antiviren Programme in den Schatten gestellt und gilt heute als Standard. In dieser Sandbox, werden alle Vorgänge überwacht und wenn eine Datei von der Norm abweicht, wird sie eingeschlossen und in Quarantäne gesetzt. Somit sind gefährdeten Dateien eingeschlossen und Ihr Computer ist effektiv geschützt. Heute arbeitet nahezu jedes Antiviren Programm nach diesem Verfahren.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels