Für Virus-Scan-Programme wird es immer schwieriger, Schädlinge zu erkennen. Foto: dpa
Schutz mit umgekehrten Vorzeichen
Auffällig an Beispielen wie MPack ist, dass der Schadcode individuell nach den Gegebenheiten auf dem Ziel-PC ausgewählt wird, und weitere Programmteile Stück für Stück aus dem Internet nachgeladen werden. Es gibt also keine einheitliche Signatur, die einem herkömmlichen Virenscanner die Erkennung anhand einer Blacklist ermöglichen würde.
Um den wachsenden Problemen einer auf bekannten Signaturen basierenden Abwehr von Schadprogrammen Rechnung zu tragen, bietet sich „Whitelisting“ als Alternative an. An die Stelle des Ausfilterns aller schädlichen Programme tritt die exklusive Zulassung jeder als ungefährlich eingestuften Software. Als Entscheidungsgrundlage dient eine Datenbank, in der alle harmlosen und nützlichen Programme eingetragen sind. Ist ein neues Programm dort nicht verzeichnet, wird seine Ausführung verhindert. Der Bedarf nach einer zuverlässigen Erkennung neuer Schadsoftware würde also komplett entfallen: Ein Virus oder Trojaner würde keinen Eintrag in der Datenbank bekommen und deshalb nicht ausgeführt werden.
Computerviren-Quiz (Teil 2): Testen Sie
Ihr Wissen über Viren und Würmer (Teil 2)
Fragen und Probleme offen
Whitelisting wirft jedoch viele Fragen und Probleme auf. Zunächst: Wer soll eigentlich bestimmen, welche Software in der erwähnten Datenbank als „gut“ eingestuft wird? Wirtschaftliche Interessen wären dabei genau so ein Problem wie fehlende Kenntnis von nützlichen und regulär eingesetzten Programmen. So könnte die Software unliebsamer Konkurrenz in der eigenen Whitelist einfach nicht berücksichtigt werden. Oder die Liste mit zugelassener Software ist nicht umfangreich genug, um auch weniger bekannte Programme zu enthalten.
In beiden Fällen könnte in der Konsequenz eine Vielzahl unschädlicher und nützlicher Programme nicht verwendet werden. Die Annahme ist plausibel, dass wohl nur eine Handvoll Hersteller von Sicherheitssoftware wie etwa Symantec oder CA genug Marktdurchdringung und Know How besitzt, um eine wirklich unabhängige und umfassende Datenbank zulässiger Anwendungsprogramme zu erstellen. Es bleibt jedoch immer eine Unsicherheit hinsichtlich Know How und Neutralität übrig, die mit einem gewissen Maß an Vertrauen überbrückt werden muss. Als zweites großes Problem muss jedes Update, das eines der gelisteten Programme erfährt, in der Whitelist vermerkt werden. Ansonsten würde die Aktualisierung dazu führen, dass es nicht mehr als zugelassen erkannt wird. Bei einer Whitelist mit mehreren Millionen Einträgen entsteht also ein enormer Aktualisierungsaufwand. Auch diese Leistung kann nicht von jedem Unternehmen erbracht werden.
Mittelweg als Lösung
Sicherheitsprogramme können in Zukunft sicherlich nicht mehr ausschließlich auf die signaturbasierte Erkennung von Schadcode bauen, die der Entwicklung von Schadprogrammen immer einen Schritt hinterher hinkt. Schutz allein auf Basis einer Whitelist birgt aber auch so viele Schwierigkeiten, dass sich mittelfristig wohl eher eine Zwitterlösung aus beiden Verfahren etablieren wird. Eine zusätzliche Verhaltensanalyse aktiver Programme als dritte Sicherungsebene hilft dabei, neue Schadsoftware anhand ihres Funktionsschemas zu erkennen. Ein strenges Whitelisting ist wohl nur in Unternehmen denkbar, wo die Zahl der eingesetzten Programme überschaubar und keiner ständigen Veränderung unterworfen ist.
