Malware: Teststandards für Security-Software geplant

Auf einer Fachkonferenz in Seoul hat sich die Anti-Malware Testing Working Group formiert. Die Arbeitsgruppe will einheitliche Tests für Sicherheitssoftware entwickeln.

„Die klassischen Ansätze von Antivirensoftware – Signaturen und Heuristiken – haben immer größere Probleme, auf die aktuelle Flut von Malware zu reagieren“, erklärt Andreas Marx, Geschäftsführer von AV-Test. Hersteller müssten täglich tausende Dateien analysieren, um Signaturen bereitzustellen. Das bedeute einen großen Zeitaufwand.

Abhilfe schaffen könnten proaktive Schutzansätze, die unter dem Namen „Dynamic Detection“ zusammengefasst werden. „Hierbei wird Malware an Hand ihres Verhaltens erkannt“, so Marx. Von Software gesetzte und versuchte Aktionen würden durch dynamische Erkennungsmechanismen analysiert. Stuft die Software ihr Verhalten als bösartig ein, blockt sie Aktionen und bereinigt das System von der Malware.

Solche Schutzmaßnahmen erfordern natürlich geeignete Tests. Marx hat für die Anti-Malware Testing Working Group einige entworfen. Das Grundprinzip lautet wie folgt: „Ein PC mit installierter Anti-Malware-Software wird einem Schädling ausgesetzt. Dabei werden sowohl die Aktionen der Malware wie auch der Sicherheitssoftware beobachtet und festgehalten. Schließlich wird bestimmt, ob sich die Malware installieren und Schaden anrichten konnte, oder ob die Malware beziehungsweise ihre Aktionen erfolgreich geblockt und angelegte Komponenten entfernt wurden.“

Was sich zunächst einfach anhört, ist aber ein vielschichtiges Problem. Eine Test-Malware muss den getesteten Schutzprogrammen wirklich unbekannt sein. Dazu müssen eventuell Signaturen oder Heuristiken deaktiviert werden, da die Hersteller bestrebt sind, diese für neue Bedrohungen möglichst schnell anzubieten. Die Test-Malware sollte möglichst verbreitet und auch wirklich lauffähig sein – also nicht längst geschlossene Sicherheitslücken ausnutzen.

Ein besonders großes Problem ist die Vergleichbarkeit und Reproduzierbarkeit entsprechender Tests. „Jedes Produkt sollte mit den gleichen Malware-Aktionen konfrontiert werden. Schadprogramme verändern ihr Verhalten abhängig von vielen Variablen“, erläutert Marx. Gerade, wenn Malware unter realistischen Testbedingungen aus dem Internet nachladen könne, sei Reproduzierbarkeit schwer zu erreichen. Außerdem müsse dabei besonders auf eine sichere Durchführung geachtet werden.

Wenn Sicherheitssoftware bei diesen Tests Schädlinge erkennt, bedeutet das Marx zufolge noch nicht, dass sie wirklich gut ist. „Manche Ansätze zeigen sich in den Tests als sehr sensitiv, was sehr gute Erkennungsraten bringt. Dafür warnen sie auch vor an sich völlig harmlosen Programmen.“ Auch die Zahl solcher Fehlalarme sei ein Kriterium für die Qualität von Schutzprogrammen.

An einheitlichen Standards für Tests dynamischer Erkennungsmechanismen scheinen Anbieter auf dem umkämpften Sicherheitssoftware-Markt tatsächlich großes Interesse zu haben. Laut AV-Test haben Symantec, F-Secure, Panda Security, Kaspersky Lab, Avira, Eset und PC-Tools bereits an Geprächen teilgenommen. Auch andere Unternehmen sollen Interesse bekundet (unter anderem McAfee, Sophos und CA) oder zumindest angedeutet haben (darunter Microsoft, Bitdefender, G-Data, Zonealarm und Trend Micro).