Modewort „Cloud-Antivirus“ – Was steckt dahinter?
„Cloud“ ist in der IT-Branche definitiv eines der am liebsten verwendeten Marketing-Wörter der letzten Jahre. Die virtuellen Wolken versprechen leichten und mobilen Zugriff auf Daten und Dienste. Auch im Antivirus-Segment kommt die Technologie längst zum Einsatz: Schnelle Scans und ein sehr geringer Ressourcenverbrauch sind dabei klare Vorzüge von Cloud-basierten Scannern. Doch wie so oft hat die Medaille auch eine Kehrseite.
Was überhaupt ist eine Cloud?
Unter Cloud-Computing (Englisch „cloud“ = „Wolke“) versteht man einfach ausgedrückt die verteilte Bereitstellung einer IT-Infrastruktur über ein Netzwerk. Grundsätzlich kann es sich dabei um alles Mögliche handeln. Derzeit im Trend sind vor allem Speicherdienste, wobei meist ein Rechenzentrum Speicherplatz über das Internet verfügbar macht. Dieser Speicher kann dann am heimischen Computer so wie eine normale lokale Festplatte auch genutzt werden, obwohl die physische Existenz hunderte oder sogar tausende Kilometer entfernt liegt. Da man als Nutzer nie genau weiß, auf welchem Server sich die Daten gerade befinden, spricht man von einer Datenwolke, in der alles gespeichert wird.
Aber auch komplette Programme und Dienstleistungen werden per Cloud zur Verfügung gestellt. Ganz im Sinne einer klassischen Client/Server-Architektur läuft dann beispielsweise ein Tabellenkalkulationsprogramm auf einem externen Rechner, also einem Server. Über das Internet erhält der Nutzer das Interface auf seinen eigenen PC und kann die Software von dort aus nutzen. Zunächst ist das sehr bequem, da die Software oft keine Installation auf dem Computer benötigt und rechenintensive Operationen zudem ausgelagert werden.
Klassische Antiviren-Lösungen haben ein Problem
Die Basis der klassischen Virenerkennung sind nach wie vor signaturbasierte Scanner. Doch diese stecken über kurz oder lang in einer Zwickmühle: Die Anzahl neu entdeckter Malware-Varianten verdoppelt sich alle 12-18 Monate. Entsprechend erhöht sich auch die Anzahl der zu ladenden Signaturen exponentiell. Virenscanner erkennen Schadsoftware anhand dieser Signaturen, das sind im Prinzip digitale Fingerabdrücke (siehe Artikel Signaturenerkennung oder Verhaltensanalyse – was ist besser?).
Daraus resultiert, dass Scanner-basierte Sicherheitsprogramme von Jahr zu Jahr mehr Speicherplatz für die Signaturen benötigen. Das trifft insbesondere Anwender mit einer schlechten Anbindung an das Internet, da die Signaturen entweder direkt mit der Installation oder beim ersten Online-Update geladen werden müssen. Bei einigen Herstellern sind das mehrere hundert Megabyte – ein Alptraum für Nutzer die noch keine Breitband-Internetverbindung haben. Ebenso nachteilig ist der RAM-Verbrauch, da sich die Signaturen für einen schnellen Scan im Arbeitsspeicher befinden müssen. Eine hohe Speicherbelastung wirkt sich negativ auf die Performance insbesondere älterer Computer aus und sorgt in vielen Vergleichstests für Punktabzüge. Allerdings bedeutet mehr Speicherverbrauch in der Regel auch mehr Signaturen und damit eine allgemein bessere Erkennungsrate.
Welche Vorteile bietet Cloud-Antiviren-Technik?
Sicherheitslösungen in der virtuellen Wolke lösen fast alle Probleme, die klassische und lokal installierte Malwarejäger haben. Der Anwender muss eigentlich nur die reine Scanner-Technologie aus dem Internet laden, welche bei den meisten Herstellern nur wenige Megabyte oder sogar nur Kilobyte groß ist. Alle Signaturen befinden sich zentral auf einem Scan-Server und können dort jederzeit, ohne Verzögerung und in beliebiger Menge aktualisiert werden.
Der gestartete Cloud-Scanner arbeitet quasi invers zu klassischen Signaturen-Scannern indem er Signaturen von auf dem Computer befindlichen Dateien erstellt und diese zum Abgleich an den Scan-Server übermittelt. Im Falle eines Treffers wird wie immer eine Infektion gemeldet. Für den Anwender ist es dabei gar nicht direkt bemerkbar, dass der eigentliche Abgleichvorgang extern läuft. Er sieht nur das Ergebnis und dass der Scan wesentlich schneller abläuft und kaum Ressourcen verbraucht. Zudem erkennen Cloud-Scanner Abweichungen vom normalen Systemzustand durch die Kombinierung der Daten einer umfangreichen Nutzergruppe (User-Community) sehr schnell, was ein weiterer Pluspunkt ist. Damit wird es nämlich möglich, ein System gesamtheitlich zu betrachten und neue, unbekannte Malware-Varianten aufzudecken.
Und wo liegt der Haken?
Natürlich klingt das alles zu schön um wahr zu sein. Schneller, besser, ressourcenschonender – wenn das ausschließlich zutreffen würde, gäbe es wohl gar keine klassischen Virenscanner mehr. Das Problem von Cloud-Antivirus steckt im Detail: Auf einem normalen PC befinden sich durchschnittlich 300.000 bis 500.000 Dateien. Wenn diese alle gescannt würden, wäre der Upload der live erstellten Signaturen zum Scan-Server extrem langwierig.
Aus genau diesem Grund filtern Cloud-Antiviren–Programme die zu scannenden Dateien vorab anhand verschiedenster Regeln und Parameter. Beispielsweise werden bestimmte Dateitypen oder Speicherorte prinzipiell als sicher angesehen. Außerdem bringen viele Cloud-Virenjäger riesige Whitelists mit. Dabei handelt es sich quasi um inverse Signaturen, die als sicher bekannte Programme klassifizieren. So reduziert sich die Anzahl der zu scannenden Dateien enorm – allerdings erneut auf Kosten von mehr Daten, die auf den PC geladen werden müssen.
Der nicht vollständige Scan stellt allerdings die Achillesferse der Technologie dar. Wenn nicht alle Dateien gründlich gescannt werden, gibt es immer Lücken, die Malware ausnutzen kann. Sei es ein bisher nicht verwendeter Speicherort oder ein Dateityp, der bis dato als sicher angesehen wurde.
Ein weiteres Problem: Dateien, die der Scan-Cloud bis dato noch gar nicht bekannt sind, werden zumeist vollständig an die Cloud übertragen und dort weiteren Analysen unterzogen. Wer sich zuvor über den kleinen Download gefreut hat, erlebt also beim ersten Scan schnell sein blaues Wunder, wenn doch auf einmal etliche Megabyte in Richtung Internet wandern. Zumal vielen gar nicht bewusst ist, dass womöglich private oder wichtige Firmendaten auf einem fremden Server landen.
Hybrid-Technik als optimale Lösung
Wir glauben, dass eine Kombination aus Cloud-Service und dem klassischen Antivirus-Scanner die Vorteile beider Technologien perfekt kombiniert. Entsprechend kommen bei vielen Emsisoft-Produkten Cloud-Funktionen zum Einsatz.
Allen voran bietet Emsisoft Anti-Malware die Möglichkeit, am „Emsisoft Anti-Malware Network“ teilzunehmen. Ist diese Option aktiviert, werden Entscheidungen zu Alarmen der Verhaltensanalyse direkt an die Emsisoft-Server übertragen. Das ermöglicht anderen Nutzern zu sehen, ob die Mehrheit der Community ein bestimmtes Programm erlaubt oder aber blockiert hat und so bei der eigenen Entscheidung zu helfen. Zudem wird ein „Vertrauensindex“ für jedes Programm anhand statistischer Analysen ermittelt. Definitiv sichere Programme landen dann in einer Whitelist und es werden keine weiteren Alarmmeldungen mehr ausgelöst.
Auch der Scanner von Emsisoft Anti-Malware fragt beim Aufspüren von verdächtigen Mustern in neuen Dateien (ausschließlich Programmdateien, keine Dokumente) nach einer Einsendung dieser. Das Emsisoft Analyseteam kann die verdächtige Datei dann genau untersuchen und gegebenenfalls eine neue Signatur erstellen. Dies hilft Emsisoft und damit auch allen Anwendern, die Reaktionszeiten bei neuen Malware-Ausbrüchen zu minimieren und den bestmöglichen Schutz für alle zu gewährleisten.
Die HIPS-basierte Firewall Emsisoft Online Armor nutzt das Emsisoft Anti-Malware Network ebenfalls. Gespeicherte Regeln zu erlaubten und blockierten Programmen werden an die Emsisoft-Cloud gesendet, um künftige Alarmmeldungen zu minimieren. Fehlalarme werden so effektiv vermieden, wobei die Sicherheitsleistung keineswegs sinkt.
Übrigens sind alle im Emsisoft Anti-Malware Network gespeicherten Daten zu Programmdateien für jedermann einsehbar und sogar durchsuchbar. Die Emsisoft Cloud ist damit nicht verschlossen, sondern vollkommen transparent und kann über eine Webseite als Schnittstelle jederzeit aufgerufen werden. Aktuell haben Sie Zugriff auf über 12 Millionen bekannte Programmdateien (Stand November 2012) inklusive geografischer Verteilung des Auftretens von Malware. Überzeugen Sie sich selbst: IstDieseDateiSicher.de.
Eine Malware freie Zeit wünscht
Ihr Emsisoft Team