Wie erkennt Antivirus-Software brandneue Bedrohungen, die noch nicht in der Datenbank stehen?

Bearbeiten
Löschen

Früher arbeiteten Antiviren-Programme fast ausschließlich mit sogenannten Signaturen – eine Art digitaler Fingerabdruck bekannter Viren. Das Problem: Gegen brandneue Bedrohungen (Zero-Day-Exploits), die noch nicht in der Datenbank stehen, waren diese Programme machtlos.

Um auch unbekannte Bedrohungen zu erkennen, nutzen moderne Schutzprogramme heute eine Kombination aus verschiedenen fortschrittlichen Techniken:

1. Heuristische Analyse (Heuristik)

Anstatt nach einem exakten Fingerabdruck zu suchen, sucht die Heuristik nach verdächtigen Merkmalen im Code einer Datei.

  • Statische Heuristik: Die Software unterscheidet den Aufbau der Datei. Enthält sie Befehle, die typisch für Viren sind (z. B. das Überschreiben von Systemdateien)? Ist der Code ungewöhnlich verschlüsselt, um entdeckt zu werden?
  • Analogie: Ein Türsteher lässt jemanden nicht rein, weil er eine Maske trägt und ein Brecheisen dabei hat – auch wenn er das Gesicht der Person noch nie gesehen hat.

2. Verhaltensanalyse (Behavioral Analysis)

Dies ist eine der wichtigsten Methoden. Hierbei beobachtet das Antiviren-Programm, was eine Software tut, während sie ausgeführt wird. Verdächtige Verhaltensweisen sind zum Beispiel:

  • Ein Programm versucht plötzlich, hunderte Dateien in kurzer Zeit zu verschlüsseln (typisch für Ransomware).
  • Ein Programm versucht, Tastatureingaben aufzuzeichnen (Keylogger).
  • Eine eigentlich harmlose App (z. B. ein Taschenrechner) möchte plötzlich eine Internetverbindung zu einem unbekannten Server aufbauen. Sobald dieses Verhalten erkannt wird, blockiert der Scanner den Prozess.

3. Sandboxing und Emulation

Bevor eine Datei auf dem eigentlichen Betriebssystem ausgeführt wird, lässt das Antiviren-Programm sie oft in einer "Sandbox" (einer isolierten, virtuellen Testumgebung) laufen.

  • Das Programm denkt, es befände sich auf einem echten Computer, und beginnt seine Schadroutine.
  • Das Antiviren-System beobachtet die Auswirkungen in der sicheren Umgebung. Richtet das Programm dort Schaden an, wird es für das echte System gesperrt.

4. Künstliche Intelligenz und Maschinelles Lernen

Moderne Anbieter füttern ihre Server mit Millionen von Beispielen (sowohl Schadsoftware als auch harmlose Programme).

  • Ein Algorithmus lernt daraus komplexe mathematische Muster, die "bösartige" Software von "guter" Software unterscheiden.
  • Wenn eine brandneue Datei auf deinem PC landet, berechnet die KI eine Wahrscheinlichkeit. Wenn die Datei zu 99 % Mustern entspricht, die bisher nur bei Viren auftraten, wird sie blockiert, auch ohne dass ein Mensch sie vorher analysiert hat.

5. Cloud-basierte Analyse

Wenn ein Antiviren-Programm auf eine völlig unbekannte Datei stößt, schickt es oft Metadaten oder einen Hash-Wert (manchmal sogar die ganze Datei) in die Cloud des Herstellers.

  • Dort wird die Datei sofort von Hochleistungsrechnern und KI-Systemen analysiert.
  • Wird sie als gefährlich eingestuft, werden innerhalb von Minuten alle anderen Nutzer weltweit geschützt, noch bevor ein klassisches Datenbank-Update veröffentlicht wurde.

6. EDR (Endpoint Detection and Response)

In Firmennetzwerken geht man noch einen Schritt weiter. EDR-Systeme protokollieren alle Aktivitäten auf allen Rechnern. Wenn ein Angreifer eine neue Methode nutzt, die keine Datei ist (z. B. Befehle direkt in die Windows-Kommandozeile tippt), erkennt das System die unlogische Abfolge von Ereignissen und schlägt Alarm.

Zusammenfassung

Antiviren-Software verlässt sich heute nicht mehr nur darauf, einen Dieb anhand seines Steckbriefs (Signatur) zu erkennen. Sie achtet stattdessen darauf, ob jemand ein Einbrecherwerkzeug trägt (Heuristik), sich wie ein Dieb verhält (Verhaltensanalyse) oder ob er in einer Testumgebung versucht einzubrechen (Sandboxing).