Categories: Sicherheit

Malware: Teststandards für Security-Software geplant

Auf einer Fachkonferenz in Seoul hat sich die Anti-Malware Testing Working Group formiert. Die Arbeitsgruppe will einheitliche Tests für Sicherheitssoftware entwickeln.

„Die klassischen Ansätze von Antivirensoftware – Signaturen und Heuristiken – haben immer größere Probleme, auf die aktuelle Flut von Malware zu reagieren“, erklärt Andreas Marx, Geschäftsführer von AV-Test. Hersteller müssten täglich tausende Dateien analysieren, um Signaturen bereitzustellen. Das bedeute einen großen Zeitaufwand.

Abhilfe schaffen könnten proaktive Schutzansätze, die unter dem Namen „Dynamic Detection“ zusammengefasst werden. „Hierbei wird Malware an Hand ihres Verhaltens erkannt“, so Marx. Von Software gesetzte und versuchte Aktionen würden durch dynamische Erkennungsmechanismen analysiert. Stuft die Software ihr Verhalten als bösartig ein, blockt sie Aktionen und bereinigt das System von der Malware.

Solche Schutzmaßnahmen erfordern natürlich geeignete Tests. Marx hat für die Anti-Malware Testing Working Group einige entworfen. Das Grundprinzip lautet wie folgt: „Ein PC mit installierter Anti-Malware-Software wird einem Schädling ausgesetzt. Dabei werden sowohl die Aktionen der Malware wie auch der Sicherheitssoftware beobachtet und festgehalten. Schließlich wird bestimmt, ob sich die Malware installieren und Schaden anrichten konnte, oder ob die Malware beziehungsweise ihre Aktionen erfolgreich geblockt und angelegte Komponenten entfernt wurden.“

Was sich zunächst einfach anhört, ist aber ein vielschichtiges Problem. Eine Test-Malware muss den getesteten Schutzprogrammen wirklich unbekannt sein. Dazu müssen eventuell Signaturen oder Heuristiken deaktiviert werden, da die Hersteller bestrebt sind, diese für neue Bedrohungen möglichst schnell anzubieten. Die Test-Malware sollte möglichst verbreitet und auch wirklich lauffähig sein – also nicht längst geschlossene Sicherheitslücken ausnutzen.

Ein besonders großes Problem ist die Vergleichbarkeit und Reproduzierbarkeit entsprechender Tests. „Jedes Produkt sollte mit den gleichen Malware-Aktionen konfrontiert werden. Schadprogramme verändern ihr Verhalten abhängig von vielen Variablen“, erläutert Marx. Gerade, wenn Malware unter realistischen Testbedingungen aus dem Internet nachladen könne, sei Reproduzierbarkeit schwer zu erreichen. Außerdem müsse dabei besonders auf eine sichere Durchführung geachtet werden.

Wenn Sicherheitssoftware bei diesen Tests Schädlinge erkennt, bedeutet das Marx zufolge noch nicht, dass sie wirklich gut ist. „Manche Ansätze zeigen sich in den Tests als sehr sensitiv, was sehr gute Erkennungsraten bringt. Dafür warnen sie auch vor an sich völlig harmlosen Programmen.“ Auch die Zahl solcher Fehlalarme sei ein Kriterium für die Qualität von Schutzprogrammen.

An einheitlichen Standards für Tests dynamischer Erkennungsmechanismen scheinen Anbieter auf dem umkämpften Sicherheitssoftware-Markt tatsächlich großes Interesse zu haben. Laut AV-Test haben Symantec, F-Secure, Panda Security, Kaspersky Lab, Avira, Eset und PC-Tools bereits an Geprächen teilgenommen. Auch andere Unternehmen sollen Interesse bekundet (unter anderem McAfee, Sophos und CA) oder zumindest angedeutet haben (darunter Microsoft, Bitdefender, G-Data, Zonealarm und Trend Micro).

ZDNet.de Redaktion

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

6 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago