Archiv

Antiviren-Software
Neue Methoden der Malware-Erkennung

Aus der Windows-Welt ist Antiviren-Software zur Abwehr von Schadprogrammen nicht wegzudenken. Programmierer versuchen immer wieder, den Angreifern zuvorzukommen. Bisher wurden Schadprogramme anhand von Signaturen und Mustern identifiziert. Aus den USA gibt es nun neue Erkenntnisse.

Von Jan Rähm |
    Anti-Virensoftware soll Anwender vor Viren, Trojanern und anderen digitalen Schädlinge schützen
    Anti-Virensoftware soll Anwender vor Viren, Trojanern und anderen digitalen Schädlinge schützen. (imago )
    Wenn es drauf ankommt, versagt aktuelle Schutzsoftware. Eigentlich soll sie ihre Anwender vor Viren, Trojanern und anderen digitalen Schädlingen, der sogenannten Malware, bewahren. Doch die Signatur-basierte Malware-Erkennung sei de facto tot. Diese These vertritt James Scott vom US-amerikanischen ICIT, dem Institute for Critical Infrastructure Technology in Washington D.C.. Der Think Tank berät vor allem die US-Regierung und staatliche Stellen in Sachen IT-Sicherheit. Scott sagt:
    "Es kommen mehr als 100.000 Signaturen von Schadsoftware tagtäglich dazu. Da können Sie Ihre Antiviren-Lösung gar nicht aktuell halten. Und wenn Sie dann auch noch einen maßgeschneiderten Schädling untergeschoben bekommen, weil Sie zum Beispiel der Chef eines aufstrebenden Konzerns sind oder der einer Bio-Tech-Firma, dann erkennen Schutzprogramme, die auf Signaturen setzen, diese individuelle Malware nicht."
    IT-Kriminelle greifen vermehrt zu modernen Technologien
    Als Signatur bezeichnen die Experten dabei eine Art Fingerabdruck eines Schädlings. Auch wenn der sich äußerlich verändert, bleibt der Fingerabdruck von Kernkomponenten erhalten. So erkennt die digitale Abwehr das Schadprogramm. Voraussetzung ist allerdings: Der Hersteller der Schutzsoftware muss die Schadsoftware einmal in Aktion erwischt haben, um die Signatur zu erstellen. Erst dann kann die Software den Schädling erkennen und abwehren. Gleiches gilt für die verhaltensbasierte Erkennung, die beobachtet, wie ein Schadprogramm auf einem befallenen System vorgeht. Doch die IT-Kriminellen sind schnell und greifen vermehrt zu modernen Technologien wie künstlicher Intelligenz. So entstehen Schadprogramme, die sich flexibel und fortwährend verändern und so sowohl ihre Signaturen als auch ihr Verhalten verschleiern. Hier scheitern die herkömmlichen Ansätze, so Scott.
    "Die Unternehmen müssen Ansätze wie künstliche Intelligenz und maschinelles Lernen in die Schutzsoftware integrieren. Das hebt die Kultur des Erkennens und Reagierens auf die nächste Stufe. Die Maschinen können so Gefahren sozusagen vorhersehen. Man wird beispielsweise hochkritische Lücken, die sogenannten Zero Days Exploits finden, noch bevor sie ausgenutzt wurden. Und nur so kann unbekannte Schadsoftware schnell identifiziert werden."
    Möglich würde das, weil intelligente Techniken und Algorithmen des maschinellen Lernens und der künstlichen Intelligenz KI nicht auf einzelne Muster oder Merkmale schauen, sondern in einem Wust an Daten Ungewöhnliches erkennen. Sie passen sich außerdem beständig an neue Anforderungen an. Einen solchen Ansatz verfolgt derzeit beispielsweise der IT-Pionier IBM mit dem Großrechner Watson. Die Ergebnisse der Versuche werden zeigen, wie vielversprechend solche neue Ansätze sind. Doch es geht nicht mehr nur um Unternehmen und deren interne IT. Mit dem Internet der Dinge wird die Welt vernetzt. Das Problem dabei: Viele der Dinge im Netz der Dinge sind leistungsschwach und nur unzureichend gegen Angreifer geschützt. Könnte der Ansatz KI nebst maschinellem Lernen auch hier Erfolg versprechen? James Scott sieht erst einmal ein ganz anderes Problem.
    Neue Schutzsysteme brauchen Zeit
    "Niemand plant diese Dinge mit Security by Design. Dafür gibt es keine Vorgaben. Es gibt keine Regelungen dafür, dass IT-Sicherheit bereits in der Entwicklung und in der Herstellung genauso vorgesehen wird, wie Updates oder Patches. Es fehlen Gesetze, die vorschreiben, dass die Geräte sicher sind."
    James Scott betont, es bleibe die Hoffnung, dass mit Hilfe von künstlicher Intelligenz und maschinellem Lernen wenigstens die Netze überwacht und Schwachstellen ausgemacht werden könnten. Herkömmliche musterbasierte Lösungen seien damit völlig überfordert. Bis neuartige Schutzsysteme jedoch in breiter Masse verfügbar sind, wird noch einige Zeit vergehen.