Wenn man sich verschiedene Antivirus-Lösungen nach den oben genannten Kriterien ansieht, bemerkt man, dass diese unterschiedlich abschneiden. Leider wird nicht immer ausreichender Schutz geboten, von Garantien gar nicht zu sprechen. Es gibt natürlich keine Antivirus-Lösung, die komplett unfehlbar vor allen Schadprogrammen schützen kann. Das Wettrüsten zwischen Antivirus-Herstellern und Cyberkriminellen wird Jahr um Jahr schlimmer und viele Antivirus-Lösungen schaffen es heute kaum mehr, zuverlässigen Schutz zu bieten. Das kann man im Grunde als Krise der Antivirus-Branche bezeichnen, einhergehend mit der Unmöglichkeit, einen hundertprozentig zuverlässigen Schutz anzubieten.
Entdeckung von Schadprogrammen
Das ist der wichtigste Aspekt der Schutzqualität. Eine Antivirus-Lösung muss so viele existierende Schadprogramme wie möglich entdecken – dafür wurde sie entwickelt. Die Software muss neue Modifikationen bekannter Viren, Würmer und Trojaner erkennen, inklusive solcher, die in gepackten Dateien zu finden sind (ausführbare Dateien, die von Packern modifiziert wurden), und auch die Inhalte von Archiven und Installationspaketen scannen.
Welche Probleme können also, abgesehen vom Wettbewerb zwischen den Produkten, auf Antivirus-Programme zukommen? Diese Frage scheint einfach zu beantworten zu sein: Viren treiben überall ihr Unwesen, also müssen die Antivirus-Programme dagegen kämpfen. Oberflächlich betrachtet sind Antivirus-Lösungen zu Allerweltsprogrammen geworden, die sich kaum von ihren Mitbewerbern unterscheiden und sich aufgrund ihres attraktiveren Designs, schlauer Werbung oder anderen nicht-technischen Gründen besser oder schlechter verkaufen. Es sieht also so aus, als wäre ein Antivirus nichts Besonderes und nur ein weiteres Massenprodukt wie Waschmittel, Zahnbürsten oder Autos.
Eine Antivirus-Lösung ist jedoch mehr, und die Wahl des Anwenders sollte von anderen Überlegungen als dem Design des Produkts, dem Preis oder aggressiver Werbung beeinflusst werden. Das wichtigste Kriterium ist die technische Leistung, und verschiedene Produkte unterscheiden sich in diesem Bereich sehr. Die erste Frage ist also, vor welchen IT-Bedrohungen ein bestimmtes Produkt schützen kann und ob der gebotene Schutz ausreichende Qualität bietet.
Eine Antivirus-Lösung muss den Anwender vor allen Arten von Schadprogrammen schützen können, und je besser sie das macht, desto komfortabler wird das digitale Leben des Anwenders und desto besser kann der Systemadministrator nachts schlafen. Sollte jemand dieses theoretische Kriterium nicht beachten, wird er in der Praxis schnell vor Problemen stehen, egal ob Geld vom Bankkonto gestohlen wird, der Computer unerlaubte Telefonanrufe an unbekannte Nummern tätigt oder der ausgehende Internetverkehr auf einmal ohne offensichtlichen Grund viel höher ist.
Wenn man annimmt, Produkt X entdeckt 50 Prozent aller aktiven Viren im Internet, Produkt Y immerhin schon 90 Prozent und Produkt Z ganze 99,9 Prozent, ist es ein Leichtes, die Wahrscheinlichkeit auszurechnen, wann ein Computer nach N Angriffen nicht mehr intakt sein wird. Wenn Ihr Computer zehnmal angegriffen wird, wird er bei installiertem Produkt X mit ziemlicher Sicherheit infiziert werden (99,9 Prozent Wahrscheinlichkeit), auch bei Produkt Y ist das noch sehr wahrscheinlich (65 Prozent) und bei Produkt Z bleibt er ziemlich sicher gut geschützt (nur noch 1 Prozent Wahrscheinlichkeit einer Infizierung).
Leider bieten lange nicht alle angebotenen Antivirus-Produkte einen Schutzfaktor von nahezu 100 Prozent. Tatsache ist, dass die meisten Produkte nicht einmal 90 Prozent Schutz bieten! Das ist das Hauptproblem, vor dem Antivirus-Programme heute stehen.
Problem Nummer 1: Die Zahl und Vielfalt von Schadprogrammen wächst Jahr für Jahr. Viele Antivirus-Hersteller können hier nicht mithalten und verlieren langsam das Wettrüsten. Die Nutzer solcher Produkte sind dadurch nicht mehr komplett vor allen aktuell existierenden IT-Bedrohungen geschützt. Traurigerweise können viele Antivirus-Produkte eigentlich nicht als Antivirus bezeichnet werden.
Regelmäßige Updates
Eine Antivirus-Lösung muss regelmäßig aktualisiert werden: Cyberkriminelle werden von Jahr zu Jahr aktiver und täglich tauchen zahlreiche neue Schadprogramme auf. Und auch mit den proaktiven Methoden kann eine Antivirus-Lösung nicht immer neue Viren und Trojaner blockieren. Deshalb muss das Antivirus-Modul auf neue Schadprogramme reagieren können.
Vor etwa fünf bis zehn Jahren war der Schutz vor neuen Viren und Trojanern noch nicht so gefragt, da die meisten davon von Teenagern geschrieben wurden, die ihr Selbstwertgefühl steigern oder einfach ihre Neugier befriedigen wollten. Diese Machwerke erreichten nie die Computer der Anwender; daher musste der Schutz in erster Linie vor jenen Viren gewährleistet sein, die es bis zu den Computern der Anwender schafften. Doch heute ist die Situation eine andere. Laut den Kaspersky-Statistiken werden heute 75 Prozent der schädlichen Programme von Cyberkriminellen geschrieben, um eine große Zahl von Computern zu infizieren, und die Zahl der täglich neu hinzukommenden Viren und Trojaner geht in die Hunderte.
Das bedeutet, dass die Wahrscheinlichkeit, sich beim Surfen im Internet ein neues „kriminelles Schadprogramm“ einzufangen viel größer ist und es Dutzende, Hunderte oder Tausende infizierte Anwender gibt, die im Web unterwegs sind. Und wenn das neue Schadprogramm ein Wurm ist, geht die Zahl der Opfer schnell in die Millionen. Das Internet ändert sich schnell und die Antivirus-Hersteller müssen sofort Updates veröffentlichen, um neu entdeckte Viren und Trojaner blockieren zu können. Hierin liegt das zweite Problem.
Problem Nummer 2: Schadprogramme verbreiten sich heute rasend schnell und zwingen die Antivirus-Hersteller, so oft wie möglich Schutz-Updates zu veröffentlichen, um ihre Anwender vor allen neuen Computer-Schädlingen zu schützen. Traurigerweise können manche Antivirus-Hersteller den Schutz nicht schnell genug bieten und die Updates erreichen die Anwender dann zu spät.
Entfernen von schädlichem Code
Lassen Sie uns annehmen, dass es ein Virus durch alle Barrieren hindurch doch auf den Computer geschafft und sich dort eingenistet hat. Vielleicht hat das Antivirus-Programm den Virus aus irgendeinem Grund nicht bemerkt, oder der Anwender oder Systemadministrator hat sich nicht darum gekümmert, das neueste Update der Antivirus-Datenbank zu installieren. Das Update wird aber früher oder später auf den Computer kommen und dann wird der Virus entdeckt werden. Doch in diesem Fall muss er vorsichtig aus dem System entfernt werden, bevor man einen Sieg über den Schädling vermelden kann. Das Schlüsselwort ist hier „sauber entfernen“ – und genau hier entstehen neue Probleme für das Antivirus-Programm.
Problem Nummer 3: Entfernen entdeckter Schadprogramme von infizierten Systemen.
Viren und Trojaner ergreifen oft spezielle Maßnahmen, um ihre Präsenz im System zu verstecken, oder sie setzen sich so tief im System fest, dass es schwer ist, sie zu entfernen. Leider ist es für Antivirus-Programm manchmal nicht möglich, den schädlichen Code sauber zu entfernen und die normale Arbeit des Systems wieder herzustellen.
Leistung vs. Schutz
Der nächste Punkt in dieser Diskussion dreht sich darum, dass jede Software Computer-Ressourcen verbraucht – Antivirus-Lösungen sind da keine Ausnahme. Um den Computer zu schützen, muss das Programm bestimmte Aktivitäten durchführen, etwa Dateien öffnen, Daten aus diesen Dateien lesen, Archive zum Scannen auspacken, usw. Je besser die Daten gescannt werden, desto mehr CPU-Leistung wird benötigt. Eine Eisentür ist ein guter Vergleich: Je schwerer die Tür ist, desto besser schützt sie und desto mehr Kraft braucht man, um sie zu öffnen und zu schließen. Damit haben wir ein weiteres Problem: Die Balance zwischen Computer-Sicherheit und Computer-Leistung zu finden.
Problem Nummer 4: Zumutbarkeit des Verbrauchs von CPU-Leistung. Für dieses Problem gibt es leider keine optimale Lösung. Die Praxis zeigt, dass die schnellsten Antivirus-Programme keinen guten Schutz bieten und Malware passieren lassen, wie Wasser durch ein Sieb rinnt. Doch das Gegenteil trifft auch nicht zu: Ein langsames Antivirus-Programm bietet nicht unbedingt zuverlässigen Schutz.
Nutzung von mehr als einem Antivirus-Programm
Um Dateien während dem Öffnen und Benutzen („on the fly“) zu scannen und den Computer zu schützen, muss das Antivirus-Programm tief im Systemkern sitzen. Technisch gesehen, installiert ein Antivirus-Programm im geschützten System Unterbrecher für Systemereignisse und gibt diese abgefangenen Daten an die Antivirus-Engine zur Analyse weiter, so dass die Dateien, Netzwerkpakete und andere kritische Daten auf Schädlinge geprüft werden können.
Leider kann man bei einem chirurgischen Eingriff meist keine zwei Skalpelle gleichzeitig verwenden. Wenn zwei Antivirus-Lösungen auf einem Computer laufen, werden beide versuchen, solche Unterbrecher im gleichen Teil des Systemkerns zu installieren. Das führt zu Konflikten zwischen den beiden Programmen. Eines davon wird es nicht schaffen, Systemereignisse abzufangen, oder es wird versuchen, einen parallelen Unterbrecher zu installieren, was den Computer zum Absturz bringt. Dies ist das letzte, aber dennoch wichtige, Problem, vor dem Antivirus-Programme stehen.
Problem Nummer 5: Zwei Antivirus-Programme können nicht simultan auf einem Computer laufen. In den meisten Fällen ist es technisch unmöglich, zwei Antivirus-Lösungen auf dem gleichen Computer zu installieren, um einen doppelten Schutz zu bekommen – die beiden Programme kommen einfach nicht miteinander aus.