Virenschutzlösungen als unverzichtbare Schutzfunktionalität auf Arbeitsplatz- und privatem PC erkennen Malware auf der Basis von Signaturen, Merkmalen, die die Hersteller aus der Analyse des Malwarecodes gewinnen und den Anwendern zur Verfügung stellen. Die Signaturen werden in der Signaturdatenbank der AV-Lösung hinterlegt. Beim Virenscan werden die Dateien auf das Vorhandensein jeder einzelnen der hinterlegten Signaturen geprüft. Hohe Genauigkeit und Zuverlässigkeit machen den signaturbasierten Virenschutz unverzichtbar. Mit der wachsenden Flut neuer Malware stößt er allerdings an Grenzen: Er schützt nur gegen Malware, deren Signatur in der Datenbank hinterlegt ist, neue Malware kann er nicht identifizieren. Außerdem braucht die Erstellung einer neuen Signatur Zeit. Bis sie auf den Anwendersystemen angekommen ist, vergehen unter Umständen Stunden, in denen der Rechner ungeschützt ist. Außerdem sind Virenschutzlösungen ressourcenintensiv: Je mehr Signaturen in der Datenbank vorhanden sind, desto langsamer arbeitet der Virenschutz und desto mehr Ressourcen blockiert er beim Scanprozess, die den eigentlichen Anwendungen auf dem Rechner dann fehlen und deren Ausführung verlangsamen.
Proaktive Verfahren
Die Hersteller arbeiten deshalb an Technologien, die das signaturbasierte Verfahren entlasten. So können proaktive Verfahren bereits einen Gutteil der unbekannten Viren erkennen; als zusätzliche Komponente werden sie inzwischen in nahezu allen AV-Produkten eingesetzt. Gesucht wird nach vermuteten Eigenschaften von Malware, die auf den Erkenntnissen über die Eigenschaften bekannter Schadcodes basieren. Dabei kann es sich um typisches Verhalten handeln: Je nach Auftrag infiziert und löscht Malware Dateien, sendet E-Mails, richtet Abhörports ein, vervielfältigt sich selbst oder stellt eine Verbindung mit einem IRC-Server (Internet-Relay-Chat) her. Ein Beispiel für eine verhaltensbasierte Lösung ist die bereits 2001 vorgestellte Norman SandBox.
Andere Verfahren machen sich zunutze, dass Malware heutzutage weitestgehend aus Baukästen zusammengesetzt wird, und suchen nach typischen Codesequenzen bekannter Malwarefamilien. Im Unterschied zu den Signaturen, die nur zu einem einzigen Virus passen, arbeiten sie mit Signaturen, die die Mitglieder einer Malwaregruppe identifizieren können, einschließlich neuer Varianten davon – und lassen die Signaturdatenbank weniger schnell wachsen. Als Ersatz für signaturbasierte Verfahren kommen die proaktiven Verfahren nicht in Frage, da sie weniger genau als die signaturbasierten Lösungen arbeiten und als Standardverfahren zu ressourcenintensiv sind.
Performance gewinnen
Die Scan- und Analyseprozesse der Virenschutzlösungen machen die Einsparung von Performance an anderer Stelle sinnvoll und notwendig. Das geschieht mittels so genannter Prüfsummenverfahren, mit denen Veränderungen an Dateien oder Programmen sichtbar gemacht werden können. Die Prüfsumme wird vor dem Ablegen der Datei erstellt, in einer Prüfsummendatei auf der Festplatte gespeichert, bei einem späteren Scanvorgang erneut berechnet und mit dem gespeicherten Ergebnis verglichen. Berechnung und Vergleich von Prüfsummen sind erheblich weniger aufwendig als ein erneuter Virenscan für eine Datei und ersetzen in manchen Antivirenlösungen den Scan beim Dateiaufruf. Das Verfahren kann jedoch manipuliert werden und zieht, da Veränderungen bei der Prüfsumme unterschiedliche Ursachen haben können, zusätzlichen Aufwand nach sich.
Virenschutz als Kombilösung
Trotz der wertvollen Arbeit, die proaktiven und ressourcensparenden Verfahren an der Achillessehne der signaturbasierten Lösungen leisten, sind aufgrund der Findigkeit der Malwareautoren und der Vielzahl an Eintrittsmöglichkeiten, die ein PC bietet, weitere Schutzmaßnahmen vonnöten: So werden Schwachstellen in Anwendungen zunehmend als Einfallstor für Malware genutzt. Sie finden sich, mit zunehmender Tendenz, nicht nur bei Microsoft Office, sondern auch bei Adobe Reader, Sun Java, Mozilla Firefox und anderen. Für die meisten Sicherheitslücken stehen Patches schnell zur Verfügung; sie helfen allerdings nur, wenn sie zeitnah auf alle PC im Unternehmensnetz verteilt werden. Regelmäßiges Patchen ist deshalb so notwendig wie das Updaten des Virenschutzes, das Doing ist jedoch erheblich aufwendiger. Patch-Management-Lösungen automatisieren den Prozess; in kleineren und mittelständischen Unternehmen lassen sich Aufwand und Kosten durch entsprechende Managed Services verringern.
Selbst Lösungen, deren eigentliche Aufgabe nicht der Schutz vor Malware ist, beispielsweise Software, die die Nutzung mobiler Geräte oder von Anwendungen überwacht beziehungsweise begrenzt, tragen zum Schutz vor Malware bei: Wenn nicht jeder Mitarbeiter von jedem beliebigen mobilen Gerät Dateien auf den Arbeitsplatzrechner überspielen kann, sinkt das Risiko, dass Malware mitgeliefert werden kann, und je weniger Anwendungen auf den Rechnern laufen, desto weniger Schwachstellen können auftreten und ausgenutzt werden. Zuverlässiger Virenschutz ist nicht mehr nur mit einer Lösung machbar, sondern kombiniert unterschiedliche Technologien und Verfahren, die sich gegenseitig ergänzen. Der Virenschutz der Zukunft kommt also als Kombinationspräparat.