Windows Defender führt 90 Milliarden Analysen pro Tag durch

Microsoft hat ein Whitepaper veröffentlicht, das die Weiterentwicklung von Windows Defender Antivirus und die aktuell eingesetzten Methoden zur Abwehr von Schadsoftware beschreibt. Evolution of malware prevention (PDF) definiert „Antivirus“ dabei allgemein als „ein Produkt, das bösartige Programme daran hindert, mein Gerät zu infizieren“.

Die herkömmliche Definition von Antivirus-Software sei inzwischen klar überholt, da es längst nicht mehr nur um Computerviren gehe. Ds gelte auch für Windows Defender Antivirus. „Wenn Sie über eine Milliarde Kunden schützen und jeden Tag eine Entscheidung zu rund 90 Milliarden potenziell bösartigen Begegnungen treffen – dann geht das einfach über die traditionelle Antivirus-Software hinaus“, argumentiert in einem Blogeintrag Holly Stewart, Principal Research Manager bei Microsoft.

„Kunden mit herkömmlichen Mitteln zu schützen, indem Menschen Signaturen schreiben, die auf von ihnen analysierter Malware beruhen, so war im Wesentlichen die ursprüngliche Methode für die Entwicklung von Antivirus-Lösungen – das ist so gut wie tot“, schreibt die Microsoft-Managerin weiter. Microsoft sei es inzwischen gelungen, die menschliche Expertise wirksam zu skalieren. „Für jedes bösartige Signal, das wir manuell untersuchen, bieten wir Schutz für durchschnittlich zusätzliche 4500 Bedrohungen und 12.000 Kunden. Das läuft auf 99,98 Prozent der erkannten Bedrohungen relativ zu den 0,02 Prozent manuell untersuchten hinaus – ein ziemlich gutes Verhältnis.“

Microsoft zufolge werden 97 Prozent der Malware lokal auf dem Client-System erkannt. Zusätzlich aber sendet es Daten und verdächtige Signale sowie Dateien an das Cloud-Protection-System. Heuristische Erkennung, Verhaltensanalyse und Client-basierte Maschinenlernen-Modelle arbeiten demnach zusammen, um diese potentiellen Bedrohungen zu identifizieren und sie in der Cloud mit ihrer größeren Rechenkapazität anzugehen. Dort sollen auch Hunderte verschiedener Maschinenlernen-Modelle von einfachen linearen Modellen bis zu Deep Neural Networks gleichzeitig laufen, um innerhalb von Millisekunden ein Urteil zu fällen. Die Schwerstarbeit erfolge auch deshalb in der Cloud, um die Performance der Client-Systeme nicht zu beeinträchtigen.

Windows Defender Antivirus verarbeitet Signale zusätzlich in der Cloud (Bild: Microsoft).

30 bis 40 Prozent der täglichen Erkennungen von Malware bei den Kunden beziehen sich laut Stewart auf Schadsoftware, die mehr als einmal im Ökosystem beobachtet wird. Gegen diese Bedrohungsart könnten Client-basierte Signaturen wirksam zum Einsatz kommen. Bei den übrigen Begegnungen handle es sich jedoch um erstmalig beobachtete Bedrohungen – und bei beobachteten eindeutigen Angriffen und Signalen gelte das tatsächlich sogar für 96 Prozent.

Microsoft sieht Windows Defender Antivirus als nur eine Schlüsselkomponente in der Abwehr von Malware und anderen Bedrohungsarten. Dem Schutz dienten außerdem Windows Defender ATP (Advanced Threat Protection), das in Windows 10 Creators Update die Bedrohungserkennung durch Speicher- und Kernel-Sensoren verbessert und Ergebnisse übersichtlich präsentiert. Diese Sicherheitslösung soll geschäftliche Anwender vor komplexen Bedrohungen schützen. Die neue Technologie sei bereits erfolgreich gegen Zero-Day-Attacken auf Windows zum Einsatz gekommen.

Eine ganz andere Einschätzung von Microsofts Sicherheitslösung haben die Hersteller von Antivirus-Software. Kaspersky Lab etwa verweist auf „unterdurchschnittliche“ Testergebnisse für Windows Defender. Gründer Eugene Kaspersky wirft Microsoft außerdem wettbewerbsfeindliches Verhalten vor, denn der Softwarekonzern versuche mit unfairen Mitteln, kompatible Antivirensoftware durch Defender zu ersetzen. Kaspersky will deshalb eine offizielle Kartellbeschwerde bei der Europäischen Kommission einreichen.