Anti-Viren-Lösungen, die sich der Power des Netzes bedienen, könnten Rechner künftig einfacher schädlingsfrei halten.
Die meisten Menschen wissen inzwischen, dass es keine gute Idee ist, einen Computer an das Internet anzuschließen, ohne zuvor eine aktuelle Anti-Viren-Software aufgespielt zu haben. Doch selbst das beste Schutzprogramm erwischt nicht jeden aktuellen Virus – und ein kompletter Scan des Systems kostet jedes Mal viel Prozessorleistung und kann bei langsameren Rechnern stark ausbremsend wirken
Forscher an der University of Michigan glauben nun, eine bessere Methode gefunden zu haben, PCs sauber zu halten: Sie wollen die Schutzsoftware vom heimischen PC in die "Cloud" umziehen – in die Datenwolke namens Internet, wo sich die Leistung zahlreicher Server bündeln lässt. Mit dem Ansatz war es im Versuch möglich, deutlich mehr neue Viren zu erkennen, als Stand-Alone-Schutzprogramme (83 Prozent zu 73 Prozent). Hinzu kam, dass die Gesamtleistung besser wurde: Die von den Forschern entwickelte, verteilt arbeitende Lösung namens "Cloud AV" erwischte insgesamt 98 Prozent aller im Test auf sie angesetzten Datenschädlinge, während eine Einzelplatz-Software im Durchschnitt nur 83 Prozent einfing.
"Wir haben uns Sorgen darüber gemacht, dass die Erkennungsleistung der meisten populären Anti-Viren-Software für sich genommen einen zu geringen Bereich abdeckt", sagt Farnam Jahanian, Professor für Computerwissenschaften an der University of Michigan. Seine einfache Idee: Würde man auf einem PC die Anti-Viren-Programme verschiedener Lösungsanbieter gleichzeitig verwenden, würde das die Sicherheit erhöhen. Das Problem: Leistungsmäßig wäre das von den meisten PCs nicht zu stemmen. "In dem wir die Anti-Virus-Funktion nun aber ins Netzwerk verlagern, können wir mehrere Programme gleichzeitig laufen lassen."
Jahanian und sein Kollege Jon Oberheide begannen mit dem Scan von 10.000 Datenschädlingsproben, die sie innerhalb eines Jahres gesammelt hatten. Dabei wurden unterschiedliche Anti-Viren-Programme eingesetzt. Jedes hatte seine Stärken und Schwächen. Wenn eine Malware von einer Lösung nicht erfasst wurde, griff oft eine andere. Um das Beste aus all diesen Sicherheitsprodukten herauszukitzeln, installierten die Forscher anschließend 12 verschiedene Anti-Viren-Programme auf Servern, die im Netzwerk der ingenieurwissenschaftlichen Abteilung der University of Michigan hingen. Freiwillige installierten dann ein kleines Stück Software auf ihren Rechnern, die das Eintreffen neuer Dateien, egal ob als E-Mail-Anhang oder als Download, überwachten.
Diese Files wurden dann in einen einzigartigen Wert umgerechnet, den so genannten Hash, der eine Datei zweifelsfrei identifiziert. Dieses Element wurde dann an Cloud AV zur Analyse geschickt. Konnte eine Datei nicht identifiziert werden, wurde sie anschließend einfach komplett hochgeladen, um weiter analysiert zu werden. Ist eine Datei einmal identifiziert, wird ihr Hash-Wert gespeichert. So muss Cloud AV nicht ständig die gleiche Scanarbeit leisten.
Neben der gleichzeitigen Nutzung mehrerer Anti-Viren-Programme nutzt Cloud AV außerdem noch Informationen, die von den Nutzern stammen. Gewöhnliche Programme verwenden nur den Datenpool und die Aktivitäten einer Maschine, Cloud AV kann hingegen Tausende vergleichen. Das Auffinden eines Virus auf einem Rechner schützt dann auch automatisch alle anderen.
"Wir erreichen damit etwas, das normalerweise unmöglich ist, wenn eine Sicherheitssoftware nur auf dem Desktop läuft", sagt Jahanian. Der Netzwerk-Effekt führt auch zu einer Bandbreitenersparnis: Hat Cloud AV einmal eine bestimmte geschäftliche Datei analysiert, muss sie nicht mehr neu gescannt werden, selbst wenn sie später auf dem Rechner eines anderen Netznutzers eintrifft.
"Manchmal sind die beste Ideen die einfachsten", meint Wenke Lee vom College of Computing am Georgia Institute of Technology, die die Studie kennt. Das Szenario sei durchaus realistisch: "Viele Studien basieren auf künstlichen Daten und kleinen Testnetzwerken, doch hier wurde in einer echten Demonstration bewiesen, dass das System funktioniert."
Obwohl erste Firmen bereits an serverseitigen Anti-Virus-Diensten arbeiten, setzen diese doch stets nur ein Erkennungssystem ein und können Dateien, die über ein Netzwerk verschickt werden, nicht oder nur teilweise analysieren. Google bietet zwar einen ansatzweise ähnlichen Dienst namens "Google Message Security", doch der ist nur für Firmen gedacht, die seine Web-basierten Anwendungen einsetzen. "Wir sehen das ganz genauso, dass es sehr sinnvoll ist, solche Anwendungen in die Cloud zu verlegen, schließlich verändern sich Schädlinge ständig und mutieren", sagt Adam Swidler, Chef der Google Applications Security-Gruppe.
Noch ist aber unklar, ob eine netzwerkbasierte Lösung wie Cloud AV wirklich im Großeinsatz funktioniert. "Wenn man Milliarden Nachrichten durchkämmen muss, stellen sich Fragen nach der Skalierbarkeit", meint Swidler.
Ein weiteres Problem ist der Schutz der Privatsphäre, schließlich scannt ein solches System jedes File auf dem Rechner und vermerkt es in einer Logdatei. Eine Lösung hierfür existiert noch nicht. "Wenn wir über Cloud Computing und Datenschutz reden, muss klar sein, dass in den Nutzungsbedingungen steht, welche Daten des Kunden verwendet werden und dass diese im Netz sicher sind", meint Swidler.
